استفاد المجرمون الإلكترونيون من النظام الأساسي الجديد للتصيد كخدمة (PhaaS أو PaaS) المسمى Greatness لاستهداف مستخدمي الأعمال في الخدمة السحابية لـ Microsoft 365 منذ منتصف عام 2022 على الأقل. مما أدى إلى خفض مستوى الدخول في هجمات التصيد الاحتيالي. النظام الأساسي الجديد للتصيد
قال تياغو بيريرا الباحث في سيسكو تالوس: “العظمة. في الوقت الحالي. تركز فقط على صفحات Microsoft 365 الخادعة. وتزود الشركات التابعة لها بمرفقات ومنشئ روابط يؤدي إلى إنشاء خدعة وصفحات تسجيل دخول مقنعة للغاية”.
“يحتوي على ميزات مثل ملء عنوان البريد الإلكتروني للضحية مسبقًا وعرض شعار الشركة المناسب وصورة الخلفية. المستخرجة من صفحة تسجيل الدخول إلى Microsoft 365 الحقيقية للمؤسسة المستهدفة.”
الحملات التي تتضمن Greatness لها كيانات التصنيع والرعاية الصحية والتكنولوجيا الموجودة في الولايات المتحدة والمملكة المتحدة وأستراليا وجنوب إفريقيا وكندا. مع ارتفاع في النشاط تم اكتشافه في ديسمبر 2022 ومارس 2023.
توفر مجموعات التصيد الاحتيالي مثل Greatness الجهات الفاعلة في التهديد أو المبتدئين أو غير ذلك. متجرًا شاملاً فعال التكلفة وقابل للتطوير. مما يجعل من الممكن تصميم صفحات تسجيل دخول مقنعة مرتبطة بخدمات مختلفة عبر الإنترنت وتجاوز حماية المصادقة الثنائية (2FA).
على وجه التحديد. تعمل الصفحات الخادعة ذات المظهر الأصيل كبديل عكسي لحصد بيانات الاعتماد وكلمات المرور لمرة واحدة المستندة إلى الوقت (TOTPs) التي أدخلها الضحايا.
تبدأ سلاسل الهجوم برسائل بريد إلكتروني ضارة تحتوي على مرفق HTML. والذي عند الفتح ينفذ كود JavaScript غامضًا يعيد توجيه المستخدم إلى صفحة مقصودة مع عنوان البريد الإلكتروني للمستلم مملوء مسبقًا ويطالب بكلمة المرور ورمز MFA.
يتم لاحقًا إعادة توجيه بيانات الاعتماد والرموز التي تم إدخالها إلى قناة Telegram التابعة للشركة التابعة للحصول على وصول غير مصرح به إلى الحسابات المعنية.
جموعة التصيد الاحتيالي من AiTM:
تأتي مجموعة التصيد الاحتيالي من AiTM أيضًا مع لوحة إدارة تمكن الشركة التابعة من تكوين روبوت Telegram وتتبع المعلومات المسروقة وحتى إنشاء مرفقات أو روابط مفخخة.
علاوة على ذلك. من المتوقع أن يكون لدى كل شركة تابعة مفتاح واجهة برمجة تطبيقات صالح حتى تتمكن من تحميل صفحة التصيد الاحتيالي. يمنع مفتاح API أيضًا عناوين IP غير المرغوب فيها من عرض صفحة التصيد ويسهل التواصل وراء الكواليس مع صفحة تسجيل الدخول إلى Microsoft 365 الفعلية من خلال التظاهر كضحية.
قال بيريرا: “بالعمل معًا. تقوم مجموعة التصيد الاحتيالي وواجهة برمجة التطبيقات بتنفيذ هجوم” رجل في الوسط “. حيث تطلب معلومات من الضحية سترسلها واجهة برمجة التطبيقات بعد ذلك إلى صفحة تسجيل الدخول الشرعية في الوقت الفعلي”.
“يسمح هذا للمنتسب PaaS بسرقة أسماء المستخدمين وكلمات المرور. إلى جانب ملفات تعريف الارتباط للجلسة المصادق عليها إذا كان الضحية يستخدم MFA.” النظام الأساسي الجديد للتصيد
تأتي هذه النتائج في الوقت الذي بدأت فيه Microsoft في فرض مطابقة الأرقام في إشعارات دفع Microsoft Authenticator اعتبارًا من 8 مايو 2023. لتحسين حماية 2FA ودرء هجمات القصف الفوري.