انتشار شده در تاریخ 1402/02/23 - 10:37

هدف قرار دادن کاربران مایکروسافت 365 با ابزار فیشینگ

ابزار جدید فیشینگ به عنوان سرویس، کاربران مایکروسافت 365 را هدف قرار می‌دهد.

به گزارش کارگروه بین‌الملل سایبربان؛ یک فیشینگ به عنوان سرویس (PaaS) جدید به نام «Greatness» به شرکت‎های وابسته یک پیوست و سازنده پیوند را برای ایجاد صفحات فریبنده و ورود متقاعد کننده مایکروسافت 365 ارائه می‌دهد و آن را برای کاربران تجاری هدف مناسب می‌کند.

محققان سیسکو تالوس (Cisco Talos) در وبلاگی در 10 می امسال خاطرنشان کردند که چندین کمپین فیشینگ با استفاده از این سرویس حداقل از اواسط سال 2022 مشاهده شده که در دسامبر و مارس افزایش یافته است. این کمپین‌ها عمدتاً شرکت‌های تولیدی، مراقبت‌های بهداشتی و فناوری در ایالات متحده، بریتانیا، آفریقای جنوبی و کانادا را هدف قرار داده‌اند که بیش از 50 درصد از تمام اهداف تنها در ایالات متحده مستقر هستند.

تیاگو پریرا (Tiago Pereira)، محقق سیسکو نوشت :

«شرکت‌های وابسته باید یک کیت فیشینگ ارائه شده را با یک کلید «API» استقرار و پیکربندی کنند که حتی به عوامل تهدید کننده غیرماهر نیز اجازه می‌دهد تا به راحتی از ویژگی‌های پیشرفته‌تر این سرویس استفاده کنند. کیت فیشینگ و API به‌عنوان یک پروکسی برای سیستم احراز هویت مایکروسافت 365 کار می‌کنند و یک حمله «man-in-the-middle» را انجام می‌دهند و اعتبارنامه یا کوکی‌های احراز هویت قربانی را به سرقت می‌برند.»

پریرا توضیح داد که فیشینگ به عنوان سرویس حاوی یک کیت فیشینگ (شامل پنل مدیریت)، API سرویس و یک ربات تلگرام یا آدرس ایمیل است.

وی ادامه داد که این حمله زمانی شروع می‌شود که قربانیان یک ایمیل مخرب دریافت می‌کنند که معمولاً یک فایل پیوست «HTML» دارد. با باز کردن پیوست، یک کد جاوا اسکریپت مبهم در مرورگر وب اجرا می‌شود که حاوی تصویری تار است که یک چرخ در حال چرخش را نمایش می‌دهد تا وانمود کند که در حال بارگیری یک سند است.

سپس قربانی به یک صفحه ورود به سیستم مایکروسافت 365 هدایت می‌شود که اغلب با آدرس ایمیل او و پس‌زمینه و آرم سفارشی استفاده شده به‌وسیله شرکت آنها از قبل پر شده است. هنگامی که قربانی رمز عبور خود را تایپ می‌کند، سرویس فیشینگ به مایکروسافت 365 متصل می‌شود و هویت قربانی را جعل می‌کند تا وارد سیستم شود. فیشینگ به عنوان سرویس حتی از قربانی می‌خواهد تا یک درخواست احراز هویت چند عاملی از سوی صفحه مایکروسافت 365 واقعی، مانند کد SMS یا اعلان فشار را تأیید کند.

کیت فیشینگ به عنوان سرویس، اعتبارنامه‌ها را به صورت محلی ذخیره می‌کند تا بتوان از طریق پنل مدیریتی به آنها دسترسی پیدا کرد و در صورت پیکربندی برای انجام این کار، آنها را به کانال تلگرام وابسته ارسال می‌کند.

به گفته پریرا، کیت فیشینگ و API با همکاری یکدیگر یک حمله «man-in-the-middle» را انجام می‌دهند و اطلاعاتی را از قربانی درخواست می‌کنند که API سپس در زمان واقعی به صفحه ورود قانونی ارسال کند. از آنجایی که جلسات احراز هویت پس از مدتی به پایان می‌رسد، مهاجم در اسرع وقت از طریق ربات تلگرام مطلع می‌شود که کوکی‌های جلسه تأیید شده قربانی به دست آمده است.