Cервис использует Telegram-ботов для кражи учетных данных Microsoft 365.
Исследователи Cisco обнаружили новый PaaS-сервис (Phishing-as-a-Service, фишинг как услуга), который позволяет начинающим хакерам включать «некоторые из самых продвинутых» функций в свои кибератаки.
Подобно другим киберпреступным службам, PaaS-платформы снижают порог входа для злоумышленников, предлагая неквалифицированным хакерам возможность автоматизировать фишинг-атаки, чтобы жертвы вводили свои учетные данные на поддельной странице входа.
В отчете Cisco Talos говорится, что новый сервис называется «Greatness» и впервые был замечен в середине 2022 года — с пиками активности в декабре 2022 и марте 2023 года, исходя из количества образцов, доступных на VirusTotal .
Greatness использовался для атак на компании, а не на правительственные организации, например, путем имитации их страниц входа в Microsoft 365, что указывает на то, что пользователи службы преследуют цели финансовой выгоды, а не шпионажа.
Панель управления набора для фишинга
Согласно анализу фишинговых доменов, чаще всего жертвами становились предприятия в сфере производства, здравоохранения и технологий, при этом на США приходилось более 50% жертв, за которыми следуют компании в Великобритании, Австралии, Южной Африке и Канаде.
Платформа предоставляет своим партнерам все – от вложения и компоновщика ссылок до «весьма убедительных поддельных сайтов и страниц входа», где адрес электронной почты жертвы уже автоматически заполняется, а логотип компании и фоновое изображение извлекаются из реальной страницы входа в Microsoft 365 организации.
По словам Cisco, функции Greatness также включают обход многофакторной аутентификации (MFA), фильтрацию IP-адресов и интеграцию с Telegram-ботами. Telegram-бот используется для информирования партнеров в момент, когда сервис украдет аутентифицированный cookie-файл сеанса до истечения срока действия cookie-файла.
Первое — находим постоянно, второе — ждем вас