Tehdit aktörleri, gerçekte yalnızca hassas verileri çalan otantik görünümlü açılış sayfalarıyla dünyanın dört bir yanındaki işletmeleri hedeflemek için bir hizmet olarak kimlik avı (PhaaS) sağlayıcısı olan Greatness’i giderek daha fazla kullanıyor.
Cisco Talos tarafından hazırlanan yeni bir rapora göre, ilk kez 2022’nin ortalarında kurulan araç, tehdit aktörlerinin ABD, Kanada, Birleşik Krallık, Avustralya ve ABD’deki şirketlerin Microsoft 365 hesaplarını hedef almasıyla kullanıcılarda önemli bir artış görüyor. Güney Afrika.
Saldırganlar, hassas verileri veya kullanıcı kimlik bilgilerini elde etmek isteyen imalat, sağlık, teknoloji, eğitim, emlak, inşaat, finans ve ticari hizmetler sektörlerindeki firmaları hedef alıyor.
Basit kurulum
En kötü yanı, Greatness’in bir kimlik avı kampanyası oluşturma sürecini büyük ölçüde basitleştirmesi ve giriş engelini önemli ölçüde düşürmesidir.
Bir firmaya saldırmak için bilgisayar korsanlarının yalnızca birkaç şey yapması yeterlidir: API anahtarını kullanarak hizmette oturum açın; hedef e-posta adreslerinin bir listesini sağlayın; e-postanın içeriğini oluşturun (ve diğer varsayılan ayrıntıları uygun gördükleri şekilde değiştirin).
Bundan sonra Greatness, kurbanları postalamanın sıkıntılı işini halleder. Numaraya kanıp beraberindeki eki açanlar, hizmetin sunucusuna bağlanan ve kötü niyetli açılış sayfasını kapan gizlenmiş bir JavaSCript kodu alacaklar.
Sayfanın kendisi kısmen otomatiktir – işverenin orijinal Microsoft 365 oturum açma sayfasından hedef şirketin günlüğünü ve arka plan resmini alır ve hedef için daha inandırıcı hale getirerek doğru e-posta adresini önceden doldurur.
Ardından açılış sayfası, kullanıcı ile gerçek Microsoft 365 oturum açma sayfası arasında bir aracı görevi görerek kimlik doğrulama akışında ilerler ve hatta hesapta çok faktörlü kimlik doğrulama ayarlanmışsa MFA kodunu ister. Kullanıcı oturum açtıktan sonra, saldırganlar oturum tanımlama bilgisini Telegram aracılığıyla ele geçirerek MFA’yı atlatır ve erişim elde eder.
Cisco’nun raporunda, “Kimliği doğrulanmış oturumlar genellikle bir süre sonra zaman aşımına uğrar, bu muhtemelen telgraf botunun kullanılmasının nedenlerinden biridir – hedef ilginçse hızlı bir şekilde ulaşabilmelerini sağlamak için saldırganı mümkün olan en kısa sürede geçerli çerezler hakkında bilgilendirir.” .
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
