Nowe cyberzagrożenie „Greatness” oparte na usłudze (phishing as a service)

19 maja, 2023

Nowe cyberprzestępcze ugrupowanie sprzedaje swoje usługi innym przestępcom, którzy stoją za atakami głównie w USA (ponad 50% wszystkich ataków). Kolejne najczęściej atakowane regiony z wykorzystaniem narzędzia Greatness zauważono w Wielkiej Brytanii, Australii, RPA i Kanadzie.

Greatness wykorzystuje funkcje, takie jak obejście uwierzytelniania wieloskładnikowego (MFA), filtrowanie IP oraz integrację z botami na Telegramie. Jego autorzy specjalizują się w atakach phishingowych „na zainfekowane elementy Microsoft 365”, dostarczając przestępcom kreator załączników i linków, który tworzy przekonujące strony-przynęty służące do logowania.

Admin Login Greatness
Panel administratora narzędzia przestępczego Greatness.
phishing kit greatness
Tworzenie złośliwych załączników.

Aby korzystać z Greatness, złośliwe podmioty muszą wdrożyć i skonfigurować dostarczony zestaw phishingowy z kluczem API, który pozwala nawet niewykwalifikowanym cyberprzestępcom na używanie zaawansowanych funkcji usługi. Zestaw phishingowy i API działają jako proxy do systemu uwierzytelniania Microsoft 365, przeprowadzając atak typu „man-in-the-middle” i kradnąc dane uwierzytelniające ofiary lub pliki cookie.

Analiza ujawniła, że najczęściej atakowane sektory to produkcja, opieka zdrowotna i technologia. Na podstawie danych z ataków udało się ustalić, że cyberprzestępcy wykorzystujący Greatness, celują niemal wyłącznie w przedsiębiorstwa. Nowa usługa phishing-as-a-service została wykryta przez ekspertów Cisco Talos. Greatness był szczególnie popularny w grudniu 2022 roku i marcu 2023 roku. 


Jak przebiega atak?

Ofiara otrzymuje złośliwy e-mail, który zazwyczaj zawiera plik HTML jako załącznik.

Gdy ofiara otworzy plik HTML, przeglądarka internetowa wykonuje krótki fragment zamaskowanego kodu JavaScript, który nawiązuje połączenie z serwerem atakującego w celu uzyskania kodu HTML strony phishingowej i wyświetlenia go użytkownikowi w tym samym oknie przeglądarki. Kod ten zawiera zamazany obraz, który przedstawia wirujące koło, udając, że ładuje dokument.

Fake Microsoft login
Strona internetowa udająca dokument Microsoft.

Następnie strona przekierowuje ofiarę na stronę logowania Microsoft 365, zwykle wstępnie wypełnioną adresem e-mail ofiary oraz tłem i logo używanym przez jej firmę.

password man in the middle

Gdy ofiara podaje swoje hasło, PaaS łączy się z Microsoft 365, podszywa się pod ofiarę i podejmuje próbę logowania.

Jeśli używane jest MFA, usługa wyświetli ofierze monit o uwierzytelnienie przy użyciu metody MFA wymaganej przez prawdziwą stronę Microsoft 365 (np. kod SMS, kod połączenia głosowego, powiadomienie push).

2fa man in the middle

Gdy usługa otrzyma autoryzację, będzie nadal podszywać się pod ofiarę i dokończy proces logowania, aby zebrać uwierzytelnione pliki cookie sesji. Następnie zostaną one dostarczone do partnera usługi na jego kanale Telegram lub bezpośrednio przez panel internetowy.

5 kroków jak rozpoznać atak i jak się chronić?

1. Istnieją pewne wizualne różnice w prawdziwym i fałszywym oknie logowania.

2. Używaj menadżera haseł. Jeżeli używasz automatycznego uzupełniania loginów i haseł dla domeny np. facebook.com, to menadżer haseł nie podstawi loginu i hasła na fałszywej domenie facebook-12345.com (automatyczne uzupełnianie pól).

3. Stosuj zabezpieczenia anty-phishingowe! Programy antywirusowe, które mają funkcję deszyfrowania i skanowania ruchu SSL, mogą zablokować podobne ataki.

4. Tam, gdzie jest to możliwe, stosuj logowanie wieloskładnikowe. Jeśli usługa online to umożliwia, to używaj do logowania kluczy bezpieczeństwa i noś je przy sobie (wyższe modele obsługują technologię NFC, więc mogą współpracować ze smartfonami).

5. Rozważ wdrożenie w swojej firmie modelu Zero Trust Security dla logowania bez względu na protokół czy wspieranie technologii 2FA. Polskie rozwiązanie (przeczytaj recenzję) jest odporne na ataki phishingowe.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]