Plataforma de PhaaS permite a los ciberdelincuentes generar convincentes páginas de phishing
Denominada Greatness solo se centra por ahora en las páginas de phishing de Microsoft 365
Los ciberdelincuentes han aprovechado una nueva plataforma de phishing como servicio (PhaaS o PaaS, del inglés Phishing-as-a-Service) llamada Greatness para apuntar a los usuarios comerciales del servicio en la nube de Microsoft 365 desde al menos mediados de 2022, lo que reduce efectivamente las barreras de entrada para los ataques de phishing.
"Greatness, por ahora, solo se centra en las páginas de phishing de Microsoft 365, proporcionando a sus afiliados un generador de enlaces y archivos adjuntos que crea páginas de inicio de sesión y señuelos muy convincentes", dijo Tiago Pereira, investigador de Cisco Talos.
"Contiene funciones como tener precargada la dirección de correo electrónico de la víctima y mostrar el logotipo de la empresa y la imagen de fondo correspondientes, extraídos de la página de inicio de sesión real de Microsoft 365 de la organización objetivo".
Las campañas que involucran a Greatness tienen principalmente entidades de fabricación, atención médica y tecnología ubicadas en los EE. UU., el Reino Unido, Australia, Sudáfrica y Canadá, con un aumento en la actividad detectado en diciembre de 2022 y marzo de 2023.
Los kits de phishing como Greatness ofrecen a los actores de amenazas, novatos o no, una ventanilla única rentable y escalable, lo que permite diseñar convincentes páginas de inicio de sesión asociadas con varios servicios en línea y evitar las protecciones de autenticación de dos factores (2FA).
Específicamente, las páginas de señuelo de aspecto auténtico funcionan como un proxy inverso para recopilar credenciales y contraseñas de un solo uso basadas en el tiempo (TOTPs) ingresadas por las víctimas.
Las cadenas de ataque comienzan con correos electrónicos maliciosos que contienen un adjunto HTML que, al abrirse, ejecuta código JavaScript ofuscado que redirige al usuario a una página de destino con la dirección de correo electrónico del destinatario ya completada y solicita su contraseña y código de autenticación multifactor.
Las credenciales y los tokens ingresados se envían posteriormente al canal de Telegram del afiliado para obtener acceso no autorizado a las cuentas en cuestión.
El kit de phishing AiTM también viene con un panel de administración que permite al afiliado configurar el bot de Telegram, realizar un seguimiento de la información robada e incluso crear archivos adjuntos o enlaces con trampas explosivas.
Además, se espera que cada afiliado tenga una clave de API válida para poder cargar la página de phishing. La clave API también evita que las direcciones IP no deseadas vean la página de phishing y facilita la comunicación entre bastidores con la página de inicio de sesión real de Microsoft 365 haciéndose pasar por la víctima.
"Trabajando juntos, el kit de phishing y la API realizan un ataque de 'man-in-the-middle', solicitando información de la víctima que la API luego enviará en tiempo real a la página de inicio de sesión legítima", dijo Pereira.
"Esto permite que el afiliado de la PhaaS robe nombres de usuario y contraseñas, junto con las cookies de sesión autenticadas si la víctima usa autenticación multifactor".
Los hallazgos se producen cuando Microsoft comenzó a hacer cumplir la coincidencia de números en las notificaciones automáticas de Microsoft Authenticator a partir del 8 de mayo de 2023, para mejorar las protecciones 2FA y evitar ataques de bombas.
