Les acteurs de la menace utilisent de plus en plus Greatness, un fournisseur de phishing-as-a-service (PhaaS), pour cibler les entreprises du monde entier avec des pages de destination d’apparence authentique qui, en réalité, ne font que voler des données sensibles.
Selon un nouveau rapport de Cisco Talos, l’outil qui a été mis en place pour la première fois à la mi-2022 connaît une augmentation significative du nombre d’utilisateurs, alors que les acteurs de la menace ciblent les comptes Microsoft 365 d’entreprises aux États-Unis, au Canada, au Royaume-Uni, en Australie et Afrique du Sud.
Les attaquants visent des entreprises des secteurs de la fabrication, de la santé, de la technologie, de l’éducation, de l’immobilier, de la construction, de la finance et des services aux entreprises, cherchant à obtenir des données sensibles ou des identifiants d’utilisateurs.
Configuration simple
Le pire, c’est que Greatness simplifie grandement le processus de mise en place d’une campagne de phishing, abaissant considérablement la barrière à l’entrée.
Pour attaquer une entreprise, les pirates n’ont qu’à faire quelques choses : se connecter au service en utilisant leur clé API ; fournir une liste d’adresses e-mail cibles ; créer le contenu de l’e-mail (et modifier tout autre détail par défaut, comme bon lui semble).
Après cela, Greatness s’occupe du travail de courrier des victimes. Ceux qui tombent dans le piège et ouvrent la pièce jointe qui l’accompagne recevront un code JavaSCript obscurci qui se connecte au serveur du service et saisit la page de destination malveillante.
La page elle-même est partiellement automatisée – elle récupérera le journal et l’image d’arrière-plan de l’entreprise cible à partir de la page de connexion Microsoft 365 authentique de l’employeur, et pré-remplira l’adresse e-mail correcte, ce qui la rendra plus crédible pour la cible.
La page de destination agit alors comme un intermédiaire entre l’utilisateur et la page de connexion Microsoft 365 réelle, en parcourant le flux d’authentification et même en demandant le code MFA, si l’authentification multifacteur est configurée sur le compte. Une fois que l’utilisateur s’est connecté, les attaquants récupèrent le cookie de session via Telegram, contournant MFA et obtenant l’accès.
“Les sessions authentifiées expirent généralement après un certain temps, ce qui est peut-être l’une des raisons pour lesquelles le bot de télégramme est utilisé – il informe l’attaquant des cookies valides dès que possible pour s’assurer qu’il peut atteindre rapidement si la cible est intéressante”, indique le rapport de Cisco. .
Via : BleepingComputer (s’ouvre dans un nouvel onglet)