I ricercatori di Cisco Talos hanno scoperto una nuova piattaforma PaaS (Phishing-as-a-Service), denominata Greatness, usata in diversi attacchi a partire da metà 2022. In pratica è un servizio che consente ai cybercriminali di colpire le aziende, aggirando l’autenticazione multi-fattore (MFA) degli account Microsoft 365.
Tool per accedere agli account Microsoft 365
L’attacco inizia con l’invio di email con un allegato HTML. Quando l’ignara vittima apre il file, il browser esegue il codice JavaScript nascosto nella pagina e stabilisce una connessione con il server controllato dai cybercriminali, mentre viene mostrata una finta immagine che simula il caricamento del documento.
Viene quindi aperta una pagina di phishing che sembra quella usata per l’accesso a Microsoft 365. Per ingannare il dipendente sono aggiunti il logo dell’azienda e il suo vero indirizzo email. Quando viene inserita la password, Greatness opera come un proxy e intercetta i codici dell’autenticazione multi-fattore, effettuando quindi un attacco man-in-the-middle.
Il tool completa il processo di login, mostrando la piattaforma di Microsoft, ma in background ha già rubato i cookie di sessione, successivamente inviato ad un pannello di controllo web o ad un canale su Telegram tramite bot. Il kit di phishing permette anche di generare l’allegato o il link che verranno inclusi nelle email.
Una volta effettuato l’accesso a Microsoft 365, i cybercriminali possono eseguire varie attività, come leggere email o documenti riservati e scaricare file. Le credenziali di login possono essere utilizzate per attacchi futuri, anche per distribuire ransomware. La maggioranza delle vittime si trova negli Stati Uniti, ma sono stati segnalati casi anche in Regno Unito, Australia, Sud Africa e Canada.