Nebezpečný phishing cílí na uživatele Microsoft 365

Zpět na blog

Aktéři hrozeb stále častěji využívají nástroj Greatness, který nabízí phishing jako službu (PhaaS), k cílení na firmy po celém světě pomocí autenticky vypadajících vstupních stránek, které ve skutečnosti pouze kradou citlivé údaje.

Podle nové zprávy společnosti Cisco Talos zaznamenává tento nástroj, který byl poprvé vytvořen v polovině roku 2022, výrazný nárůst uživatelů. Aktéři hrozeb se nejčastěji zaměřují na účty Microsoft 365 z firem ve Spojených státech, Kanadě, Velké Británii, Austrálii a Jižní Africe. Útočníci si vybírají firmy z oblasti výroby, zdravotnictví, technologií, vzdělávání, realit, stavebnictví, financí a obchodních služeb a snaží se získat citlivá data nebo přihlašovací údaje uživatelů.

Jednoduché nastavení

Nejvíce znepokojivé je, že Greatness výrazně zjednodušuje proces nastavení phishingové kampaně, čímž výrazně snižuje vstupní bariéru. K útoku na firmu stačí hackerům udělat jen několik věcí: přihlásit se ke službě pomocí klíče API; poskytnout seznam cílových e-mailových adres; vytvořit obsah e-mailu (a změnit další výchozí údaje, jak uznají za vhodné).

Poté se Greatness postará o rozesílání e-mailů obětem. Ti, kteří naletí a otevřou přiloženou přílohu, obdrží obfuskovaný kód JavaScript, který se spojí se serverem služby a načte škodlivou vstupní stránku.

Samotná stránka je částečně automatizovaná – převezme přihlašovací údaje cílové společnosti a obrázek na pozadí z autentické přihlašovací stránky Microsoft 365 zaměstnavatele a předvyplní správnou e-mailovou adresu, aby byla pro cíl věrohodnější.

Cílová stránka pak funguje jako prostředník mezi uživatelem a skutečnou přihlašovací stránkou Microsoft 365, prochází ověřovacím tokem a dokonce si vyžádá kód MFA, pokud je na účtu nastaveno vícefaktorové ověřování. Jakmile se uživatel přihlásí, útočníci prostřednictvím služby Telegram získají soubor cookie relace, čímž obejdou funkci MFA a získají přístup k e-mailu, souborům a datům oběti ve službách Microsoft 365.

V mnoha případech jsou ukradené přihlašovací údaje použity také k průniku do podnikových sítí, což vede k ještě nebezpečnějším útokům, například k nasazení ransomwaru.

V době, kdy kybernetické hrozby a sofistikované phishingové útoky stále narůstají, je nezbytné, aby podniky přijaly robustní bezpečnostní politiky a strategie, včetně školení svých zaměstnanců na identifikaci a odrážení phishingových útoků. Je zřejmé, že bezpečnost je nejen technologická záležitost, ale také otázka lidského faktoru. Firemní bezpečnost je tedy závislá na všech členech týmu, od IT oddělení až po koncové uživatele.

Zdroj: BleepingComputer

Zdroj ilustračního obrázku: Balkouras Nicos on Unsplash

19. 5. 2023