Эксперты нашли новую платформу Greatness, предлагающую фишинг как услугу.
Примерно с середины 2022 года платформа используется для атак на бизнес-пользователей облачного сервиса Microsoft 365, и заметно снижает порог входа для фишеров.
Специалисты Cisco Talos , что в настоящее время Greatness специализируется только на фишинговых страницах для Microsoft 365, предоставляя своим клиентам вложения и билдер ссылок, что позволяет создавать «очень убедительные страницы-приманки и страницы входа».
Пример фишинговой страницы
Кампании с применением Greatness в основном нацелены на производственные, медицинские и технологические организации, расположенные в США, Великобритании, Австралии, Южной Африке и Канаде. Сообщается, что всплески таких атак были зафиксированы в декабре 2022 года и марте 2023 года.
Наблюдаемые атаки
Фишинговые атак начинаются с вредоносных электронных писем, содержащих вложения в формате HTML, которые выполняют обфусцированный код JavaScript после открытия. Это перенаправляет пользователя на целевую страницу с предварительно заполненным адресом электронной почты получателя, где у жертвы запрашивают пароль и код многофакторной аутентификации, как в примере выше.
Все введенные данные и токены впоследствии пересылаются в Telegram-канал злоумышленников, которые получают возможность получить несанкционированный доступ к скомпрометированным учетным записям.
Общая схема атаки
Также фишерам предоставляется панель администрирования, которая позволяет настроить Telegram-бота, отслеживать украденную информацию, а также создавать кастомные вложения или ссылки-ловушки.
Более того, отмечается, что каждый клиент должен иметь действующий API-ключ, чтобы иметь возможность загрузить фишинговую страницу. API-ключ также предотвращает просмотр фишинговой страницы с нежелательных IP-адресов и облегчает скрытсвязь с реальной страницей входа в Microsoft 365.
Примерно с середины 2022 года платформа используется для атак на бизнес-пользователей облачного сервиса Microsoft 365, и заметно снижает порог входа для фишеров.
Специалисты Cisco Talos , что в настоящее время Greatness специализируется только на фишинговых страницах для Microsoft 365, предоставляя своим клиентам вложения и билдер ссылок, что позволяет создавать «очень убедительные страницы-приманки и страницы входа».
Пример фишинговой страницы
Кампании с применением Greatness в основном нацелены на производственные, медицинские и технологические организации, расположенные в США, Великобритании, Австралии, Южной Африке и Канаде. Сообщается, что всплески таких атак были зафиксированы в декабре 2022 года и марте 2023 года.
Наблюдаемые атаки
Фишинговые атак начинаются с вредоносных электронных писем, содержащих вложения в формате HTML, которые выполняют обфусцированный код JavaScript после открытия. Это перенаправляет пользователя на целевую страницу с предварительно заполненным адресом электронной почты получателя, где у жертвы запрашивают пароль и код многофакторной аутентификации, как в примере выше.
Все введенные данные и токены впоследствии пересылаются в Telegram-канал злоумышленников, которые получают возможность получить несанкционированный доступ к скомпрометированным учетным записям.
Общая схема атаки
Также фишерам предоставляется панель администрирования, которая позволяет настроить Telegram-бота, отслеживать украденную информацию, а также создавать кастомные вложения или ссылки-ловушки.
Более того, отмечается, что каждый клиент должен иметь действующий API-ключ, чтобы иметь возможность загрузить фишинговую страницу. API-ключ также предотвращает просмотр фишинговой страницы с нежелательных IP-адресов и облегчает скрытсвязь с реальной страницей входа в Microsoft 365.
