
La plate-forme Phishing-as-a-Service (PhaaS) nommée « Greatness » a connu un pic d’activité car elle cible les organisations utilisant Microsoft 365 aux États-Unis, au Canada, au Royaume-Uni, en Australie et en Afrique du Sud.
La plate-forme de productivité basée sur le cloud Microsoft 365 est utilisée par de nombreuses organisations dans le monde, ce qui en fait une cible précieuse pour les cybercriminels qui tentent de voler des données ou des informations d’identification pour les utiliser dans des violations de réseau.
Dans un nouveau rapport de Cisco Talos, des chercheurs expliquent comment la plateforme de phishing Greatness a été lancée à la mi-2022, avec un pic d’activité en décembre 2022, puis à nouveau en mars 2023.
La plupart des victimes se trouvent aux États-Unis, et nombre d’entre elles travaillent dans les secteurs de la fabrication, de la santé, de la technologie, de l’éducation, de l’immobilier, de la construction, de la finance et des services aux entreprises.

Attaques de « grandeur »
Greatness Phishing-as-a-Service contient tout ce dont un acteur de phishing en herbe a besoin pour mener à bien une campagne.
Pour lancer une attaque, l’utilisateur des services accède au panneau d’administration ‘Greatness’ en utilisant sa clé API et en fournissant une liste d’adresses e-mail cibles.
La plateforme PhaaS alloue l’infrastructure nécessaire, comme le serveur qui hébergera la page de phishing, ainsi que pour générer la pièce jointe HTML.
L’affilié élabore ensuite le contenu de l’e-mail et fournit tout autre matériel ou modification des paramètres par défaut selon les besoins.

Le service envoie ensuite un e-mail aux victimes, qui reçoivent un e-mail de phishing avec une pièce jointe HTML. Lorsque cette pièce jointe est ouverte, un code JavaScript obscurci est exécuté dans le navigateur pour se connecter au serveur « Greatness » afin de récupérer la page de phishing qui sera affichée à l’utilisateur.
Le service de phishing injectera automatiquement le logo et l’image d’arrière-plan de l’entreprise de la cible à partir de la page de connexion Microsoft 365 réelle de l’employeur.

La victime ne saisit son mot de passe que sur la page de phishing convaincante, car Greatness pré-remplit le bon e-mail pour créer un sentiment de légitimité.
À ce stade, la plateforme de phishing agit comme un proxy entre le navigateur de la victime et la page de connexion Microsoft 365 réelle, gérant le flux d’authentification pour obtenir un cookie de session valide pour le compte cible.

Si le compte est protégé par une authentification à deux facteurs, Greatness invitera la victime à le fournir tout en déclenchant une demande sur le véritable service Microsoft, de sorte que le code à usage unique est envoyé à l’appareil de la cible.

Une fois le code MFA fourni, Greatness s’authentifiera en tant que victime sur la véritable plate-forme Microsoft et enverra le cookie de session authentifié à l’affilié via un canal Telegram ou sur le panneau Web du service.
« Les sessions authentifiées expirent généralement après un certain temps, ce qui est peut-être l’une des raisons pour lesquelles le bot de télégramme est utilisé – il informe l’attaquant des cookies valides dès que possible pour s’assurer qu’il peut atteindre rapidement si la cible est intéressante », explique Cisco.
À partir de là, les attaquants peuvent utiliser ce cookie de session pour accéder aux e-mails, fichiers et données d’une victime dans les services Microsoft 365.
Dans de nombreux cas, les informations d’identification volées sont également utilisées pour violer les réseaux d’entreprise, entraînant des attaques encore plus dangereuses, telles que le déploiement de ransomwares.