پلتفرمی که مجرمان را در فیشینگ یاری می‌کند

کمیته رکن چهارم – یک پلتفرم جدید فیشینگ-به-عنوان-سرویس به مجرمان سایبری اجازه می‌دهد که صفحه‌های فیشینگ حرفه‌ای تولید کنند.

یک پلتفرم جدید فیشینگ به عنوان یک سرویس (PaaS) به نام Greatness توسط مجرمان سایبری برای هدف قرار دادن کاربران تجاری سرویس ابری مایکروسافت ۳۶۵ حداقل از اواسط سال ۲۰۲۲ به کار گرفته شده است و به طور موثر نوار ورود برای حملات فیشینگ را کاهش می‌دهد.

تیاگو پریرا، محقق Cisco Talos گفت: Greatness، در حال حاضر، تنها بر روی صفحات فیشینگ مایکروسافت ۳۶۵ متمرکز شده است و به وابستگان خود یک پیوست و سازنده پیوند ارائه می‌دهد که صفحات فریبکارانه و ورود به سیستم بسیار قانع‌کننده‌ای ایجاد می‌کند. این سرویس شامل ویژگی‌هایی مانند پر کردن آدرس ایمیل قربانی و نمایش لوگوی شرکت مناسب و تصویر پس‌زمینه است که از صفحه ورود واقعی مایکروسافت ۳۶۵ سازمان هدف استخراج شده است.

کمپین‌های مربوط به Greatness عمدتاً دارای واحدهای تولیدی، مراقبت‌های بهداشتی و فناوری هستند که در ایالات متحده، بریتانیا، استرالیا، آفریقای جنوبی و کانادا واقع شده‌اند و با افزایش فعالیت در دسامبر ۲۰۲۲ و مارس ۲۰۲۳ شناسایی شدند.

کیت‌های فیشینگ مانند Greatness برای عوامل تهدید، تازه‌کارها یا هر فردی یک فروشگاه مقیاس‌پذیر را ارائه می‌کنند که طراحی صفحات ورود قانع‌کننده مرتبط با خدمات آنلاین مختلف و دور زدن حفاظت‌های احراز هویت دو مرحله‌ای را ممکن می‌سازد.

به طور خاص، صفحات فریب‌دهنده با ظاهری معتبر به عنوان یک پروکسی معکوس برای جمع‌آوری اعتبار و رمزهای عبور یکبار مصرف مبتنی بر زمان (TOTP) وارد شده توسط قربانیان عمل می‌کنند.

زنجیره‌های حمله با ایمیل‌های مخرب حاوی یک پیوست HTML شروع می‌شوند که پس از باز کردن، کد جاوا اسکریپت مبهم را اجرا می‌کند که کاربر را به صفحه فرود با آدرس ایمیل گیرنده از قبل پر شده هدایت می‌کند و رمز عبور و کد احراز هویت را درخواست می‌کند.

مراحل حمله از طریق کمپین فیشینگ ساخته شده توسط Greatness

اطلاعات کاربری و توکن‌های وارد شده متعاقباً برای دسترسی غیرمجاز به حساب‌های مورد نظر به کانال تلگرامی وابسته ارسال می‌شود.

کیت فیشینگ AiTM همچنین دارای یک پنل مدیریتی است که به شرکت وابسته امکان می‌دهد ربات تلگرام را پیکربندی کند، اطلاعات دزدیده شده را ردیابی کند و حتی پیوست‌ها یا لینک‌هایی را ایجاد کند.

علاوه بر این، انتظار می‌رود که هر شرکت وابسته یک کلید API معتبر داشته باشد تا بتواند صفحه فیشینگ را بارگیری کند. کلید API همچنین از مشاهده آدرس‌های IP ناخواسته در صفحه فیشینگ جلوگیری می‌کند و ارتباط پشت صحنه با صفحه ورود واقعی مایکروسافت ۳۶۵ را با ظاهر شدن به عنوان قربانی تسهیل می‌کند.

پریرا گفت: کیت فیشینگ و API با همکاری یکدیگر یک حمله «man-in-the-middle» را انجام می‌دهند و اطلاعاتی را از قربانی درخواست می‌کنند که API سپس در زمان واقعی به صفحه ورود قانونی ارسال می‌کند. این به شرکت وابسته PaaS اجازه می‌دهد تا در صورت استفاده قربانی از کد احراز هویت چند مرحله‌ای، نام‌های کاربری و رمز عبور را به همراه کوکی های جلسه تأیید شده بدزدد.

این یافته‌ها در حالی به دست می‌آیند که مایکروسافت از ۸ می ۲۰۲۳ برای بهبود حفاظت‌های ۲FA و دفع حملات بمب‌گذاری سریع، تطبیق اعداد را در اعلان‌های فشار Microsoft Authenticator آغاز کرده است.

منبع: افتانا