Una nueva plataforma de phishing como servicio (PhaaS o PaaS) denominada Grandeza<\/strong> ha sido aprovechado por los ciberdelincuentes para apuntar a los usuarios comerciales del servicio en la nube de Microsoft 365 desde al menos mediados de 2022, lo que reduce efectivamente la barra de entrada para los ataques de phishing.<\/p>\n “La grandeza, por ahora, solo se centra en las p\u00e1ginas de phishing de Microsoft 365, proporcionando a sus afiliados un generador de enlaces y archivos adjuntos que crea p\u00e1ginas de se\u00f1uelo y de inicio de sesi\u00f3n muy convincentes”, dijo Tiago Pereira, investigador de Cisco Talos. dicho<\/a>.<\/p>\n “Contiene funciones como tener la direcci\u00f3n de correo electr\u00f3nico de la v\u00edctima precargada y mostrar el logotipo de la empresa y la imagen de fondo correspondientes, extra\u00eddos de la p\u00e1gina de inicio de sesi\u00f3n real de Microsoft 365 de la organizaci\u00f3n objetivo”.<\/p>\n Las campa\u00f1as que involucran a Greatness tienen principalmente entidades de fabricaci\u00f3n, atenci\u00f3n m\u00e9dica y tecnolog\u00eda ubicadas en los EE. UU., el Reino Unido, Australia, Sud\u00e1frica y Canad\u00e1, con un aumento en la actividad detectado en diciembre de 2022 y marzo de 2023.<\/p>\n Los kits de phishing como Greatness ofrecen a los actores de amenazas, novatos o no, una ventanilla \u00fanica rentable y escalable, lo que permite dise\u00f1ar p\u00e1ginas de inicio de sesi\u00f3n convincentes asociadas con varios servicios en l\u00ednea y evitar las protecciones de autenticaci\u00f3n de dos factores (2FA).<\/p>\n Espec\u00edficamente, las p\u00e1ginas de se\u00f1uelo de apariencia aut\u00e9ntica funcionan como un proxy inverso<\/a> para recopilar credenciales y contrase\u00f1as de un solo uso basadas en el tiempo (TOTP) ingresadas por las v\u00edctimas.<\/p>\n Las cadenas de ataque comienzan con correos electr\u00f3nicos maliciosos que contienen un archivo adjunto HTML que, al abrirse, ejecuta un c\u00f3digo JavaScript ofuscado que redirige al usuario a una p\u00e1gina de destino con la direcci\u00f3n de correo electr\u00f3nico del destinatario ya completada y solicita su contrase\u00f1a y c\u00f3digo MFA.<\/p>\n Las credenciales y los tokens ingresados \u200b\u200b\u200b\u200bse env\u00edan posteriormente al canal de Telegram del afiliado para obtener acceso no autorizado a las cuentas en cuesti\u00f3n.<\/p>\n El kit de phishing AiTM tambi\u00e9n viene con un panel de administraci\u00f3n que permite al afiliado configurar el bot de Telegram, realizar un seguimiento de la informaci\u00f3n robada e incluso crear archivos adjuntos o enlaces con trampas explosivas.<\/p>\n Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n \u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n Guardar mi asiento!<\/a><\/div>\n Adem\u00e1s, se espera que cada afiliado tenga una clave de API v\u00e1lida para poder cargar la p\u00e1gina de phishing. La clave API tambi\u00e9n evita que las direcciones IP no deseadas vean la p\u00e1gina de phishing y facilita la comunicaci\u00f3n entre bastidores con la p\u00e1gina de inicio de sesi\u00f3n real de Microsoft 365 haci\u00e9ndose pasar por la v\u00edctima.<\/p>\n “Trabajando juntos, el kit de phishing y la API realizan un ataque de ‘man-in-the-middle’, solicitando informaci\u00f3n de la v\u00edctima que la API luego enviar\u00e1 a la p\u00e1gina de inicio de sesi\u00f3n leg\u00edtima en tiempo real”, dijo Pereira.<\/p>\n “Esto permite que el afiliado de PaaS robe nombres de usuario y contrase\u00f1as, junto con las cookies de sesi\u00f3n autenticadas si la v\u00edctima usa MFA”.<\/p>\n Los hallazgos llegan cuando Microsoft ha comenzado<\/a> hacer cumplir la coincidencia de n\u00fameros en las notificaciones autom\u00e1ticas de Microsoft Authenticator a partir del 8 de mayo de 2023, para mejorar las protecciones de 2FA y evitar ataques de bombardeo r\u00e1pidos.<\/p>\n <\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj92WbgLIDS9cDnAqrFHjS-Xxt9Pf3L4T4X0VQ9xtBRsv39wX9aWEDdJKlklkKXzCcTFKOU8W3Jv4DV-pIVJKKdfFdknvvvBhDQP_F0b48qgqcQM_2VPRKsu2rHtJTXRc-2VCN38uovchYzKGca-LTi2RvS7pqs6NsrIffkDivZSV4igwp-EWWsK90QPQ\/s728-e100\/tractivethreatsstatic-728x90.png\")
<\/a><\/center><\/div>\n![\"phishing](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhYavUOtnKLxTb9d9UyL3rmxzgU4t_qa7yI4FQgRwPnVDuKORZpdFSZN8PIEpyT-OTxvEmoFT2TOlvK0cKqFU1KtI6uo0rzD75aVIGForeeVAO7jcldA7C4Ayjt6mUEIvxlY_v8qkE8bYvMF29KgSRTf7EZ8DqNkCZ9IaKzC2rk1nZQkWJwBlMlXinw\/s728-e3650\/service.png\" "\\"phishing")
<\/div>\n![\"phishing](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683968328_155_La-nueva-plataforma-de-phishing-como-servicio-permite-a-los.png\" "\\"phishing")
<\/div>\n