新的网络钓鱼即服务工具瞄准 Microsoft 365 用户 媒体
新型钓鱼服务“Greatness”现身
主要观点
新的钓鱼即服务PaaS平台“Greatness”正在帮助合作伙伴创建仿真Microsoft 365登录页面,具有针对商业用户的高效性。自2022年中期以来,该服务已被多个钓鱼活动利用,涉及制造业、医疗保健和科技等行业,尤其集中于美国、英国和南非等国。钓鱼攻击通过伪装的电子邮件和HTML附件实施,并利用中间人攻击窃取受害者的认证凭证。最近,一个名为“Greatness”的钓鱼即服务平台出现,并为合作伙伴提供了一个附件和链接生成器,以创建逼真的Microsoft 365伪装和登录页面。这使得它非常适合针对商业用户进行攻击。
来自思科Talos的研究人员在5月10日的博客中指出,自2022年中期以来,已观察到多个利用该服务的钓鱼活动,其中12月和3月的活动尤为显著。这些活动主要针对美国、英国、南非和加拿大的制造业、医疗保健和科技公司,其中超过50的目标位于美国。
研究人员Tiago Pereira表示:“合作伙伴必须部署并配置提供的钓鱼工具包,这样即使是技术水平较低的威胁行为者也能够轻松利用该服务的高级功能。钓鱼工具包和API作为Microsoft 365认证系统的代理,实施‘中间人攻击’,窃取受害者的认证凭证或Cookies。”
Pereira进一步解释说,该钓鱼即服务平台包含一个钓鱼工具包其中包含管理面板、服务API以及一个Telegram机器人或电子邮件地址。
水母梯子npv攻击开始时,受害者会收到一封恶意电子邮件,通常包含一个HTML文件附件。打开该附件后,会在网页浏览器中运行一段模糊化的JavaScript代码,显示一个旋转图标,假装在加载一个文档。
接下来,受害者会被重定向到一个Microsoft 365登录页面,该页面通常已预填受害者的电子邮箱地址,并使用公司定制的背景和logo。一旦受害者输入密码,钓鱼服务便会连接到Microsoft 365,冒充受害者尝试登录。该钓鱼服务甚至会提示受害者通过真实的Microsoft 365页面进行多重身份验证,例如发送短信验证码或推送通知。
PaaS工具包会将凭证本地存储,以便通过管理面板访问,并将其发送到配置好的合作伙伴的Telegram频道。
正如Pereira所写:“钓鱼工具包和API共同实施了‘中间人攻击’,请求受害者的信息,并在实时提交到合法的登录页面。”由于认证会话会在一段时间后超时,攻击者会尽快通过Telegram机器人获得受害者已认证会话的Cookies。
