Cyberthreat.id - Penjahat siber memanfaatkan platform phishing-as-a-service (PhaaS atau PaaS) baru, Greatness, untuk menargetkan pengguna bisnis layanan cloud Microsoft 365 setidaknya sejak pertengahan 2022, yang secara efektif menurunkan standar masuknya serangan phishing.

"Kehebatan, untuk saat ini, hanya terfokus pada halaman phishing Microsoft 365, menyediakan afiliasinya dengan pembuat lampiran dan tautan yang menciptakan halaman umpan dan masuk yang sangat meyakinkan," kata peneliti Cisco Talos, Tiago Pereira, sebagaimana dikutip The Hacker News.

"Ini berisi fitur-fitur seperti mengisi alamat email korban dan menampilkan logo perusahaan yang sesuai dan gambar latar belakang, diambil dari halaman login Microsoft 365 asli organisasi target."

Kampanye yang melibatkan Greatness sebagian besar memiliki entitas manufaktur, perawatan kesehatan, dan teknologi yang berlokasi di AS, Inggris Raya, Australia, Afrika Selatan, dan Kanada, dengan lonjakan aktivitas yang terdeteksi pada Desember 2022 dan Maret 2023.

Kit phishing seperti Greatness menawarkan pelaku ancaman, pemula, atau lainnya, toko serba ada yang hemat biaya dan dapat diskalakan, sehingga memungkinkan untuk merancang halaman login yang meyakinkan terkait dengan berbagai layanan online dan melewati perlindungan autentikasi dua faktor (2FA).

Secara khusus, halaman umpan yang tampak asli berfungsi sebagai proxy terbalik untuk mengumpulkan kredensial dan kata sandi satu kali (TOTP) berbasis waktu yang dimasukkan oleh para korban.

Rantai serangan dimulai dengan email jahat yang berisi lampiran HTML, yang, setelah dibuka, mengeksekusi kode JavaScript yang disamarkan yang mengarahkan pengguna ke halaman arahan dengan alamat email penerima yang sudah diisi sebelumnya dan meminta kata sandi dan kode MFA mereka.

Kredensial dan token yang dimasukkan selanjutnya diteruskan ke saluran Telegram afiliasi untuk mendapatkan akses tidak sah ke akun yang bersangkutan.

Kit phishing AiTM juga dilengkapi dengan panel administrasi yang memungkinkan afiliasi untuk mengonfigurasi bot Telegram, melacak informasi yang dicuri, dan bahkan membuat lampiran atau tautan jebakan.

Terlebih lagi, setiap afiliasi diharapkan memiliki kunci API yang valid agar dapat memuat halaman phishing. Kunci API juga mencegah alamat IP yang tidak diinginkan untuk melihat halaman phishing dan memfasilitasi komunikasi di balik layar dengan halaman login Microsoft 365 yang sebenarnya dengan menyamar sebagai korban.

"Bekerja sama, kit phishing dan API melakukan serangan 'man-in-the-middle', meminta informasi dari korban bahwa API kemudian akan mengirimkan ke halaman login yang sah secara real time," kata Pereira.

"Ini memungkinkan afiliasi PaaS mencuri nama pengguna dan kata sandi, bersama dengan cookie sesi yang diautentikasi jika korban menggunakan MFA."

Temuan ini muncul ketika Microsoft telah mulai menerapkan pencocokan nomor dalam pemberitahuan push Microsoft Authenticator mulai 8 Mei 2023, untuk meningkatkan perlindungan 2FA dan menangkis serangan bom yang cepat.[]