一种名为“Greatness”的新型网络钓鱼即服务一直在为附属公司提供附件和链接生成器,以制作令人信服的 Microsoft 365 诱饵和登录页面,使其非常适合针对企业用户。
Cisco Talos 的研究人员在5 月 10 日的一篇博客中指出,至少从 2022 年年中以来,已经观察到多次使用该服务的网络钓鱼活动,活动在 12 月和 3 月达到高峰。这些活动主要针对美国、英国、南非和加拿大的制造、医疗保健和技术公司,仅美国就有超过 50% 的目标。
研究员 Tiago Pereira 写道,“附属机构必须部署和配置提供的带有 API 密钥的网络钓鱼工具包,即使是不熟练的威胁参与者也可以轻松利用该服务的更高级功能。网络钓鱼工具包和 API 充当Microsoft 365 身份验证系统的代理,执行“中间人”攻击并窃取受害者的身份验证凭据或 cookie。
Pererira 解释说,网络钓鱼即服务包含一个网络钓鱼工具包(其中包含管理面板)、服务 API 和一个 Telegram 机器人或电子邮件地址。
当受害者收到一封通常带有 HTML 文件附件的恶意电子邮件时,攻击就开始了,Pererira 继续说道。打开附件会在 Web 浏览器中运行混淆的 JavaScript 代码,其中包含一个显示旋转轮的模糊图像,假装它正在加载文档。
然后受害者被重定向到 Microsoft 365 登录页面,该页面通常预先填写了他们的电子邮件地址以及他们公司使用的自定义背景和徽标。一旦受害者输入密码,网络钓鱼服务就会连接到 Microsoft 365 并冒充受害者尝试登录。网络钓鱼即服务甚至会提示受害者对真实 Microsoft 的多重身份验证请求进行身份验证365 页面,例如短信代码或推送通知。
PaaS 工具包在本地存储凭据,因此可以通过管理面板访问它们,并将它们发送到附属公司的 Telegram 频道(如果已配置)。
正如 Pererira 所写:“网络钓鱼工具包和 API 协同工作,执行‘中间人’攻击,向受害者请求信息,然后 API 将实时提交到合法登录页面。” 由于身份验证会话会在一段时间后超时,Telegram 机器人会尽快通知攻击者已获得受害者的身份验证会话 cookie。
