Greatness adlı yeni bir Hizmet Olarak Kimlik Avı (PaaS) aracı, siber suçlular tarafından Microsoft 365 oturum açma kimlik bilgilerini çalmak için kullanılıyor.
İlk olarak 2022’de tespit edilen Greatness, saldırganların güvenlik önlemlerini atlamasına olanak tanıyor ve kaçınma taktikleriyle sürekli olarak güncelleniyor.
Saldırganlara geliştirme aşamasında zaman kazandırma ve gelişmiş yetenekler sağlama yeteneğinin bir sonucu olarak, giderek daha fazla popülerlik kazanıyor.
Kolluk kuvvetleri yakın zamanda LabHost’un kaldırılmasıyla bu hizmetleri ortadan kaldırmak için çalışıyor.
Saldırganlar, hem işverenleri hem de çalışanları hedeflemek için QR vektörlerini kullanıyor ve mükemmellik, kullanıcı hesaplarını tehlikeye atmak ve oturum açma kimlik bilgilerini çalmak için kullanılıyor.
Greatness kimlik avı aracı başlangıçta giriş sayfaları olarak gizlenen kötü amaçlı HTML eklerini kullandı.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Sunucu tarafı doğrulaması, bir hata mesajının veya kimlik avı sayfasının gösterilip gösterilmeyeceğini belirledi ve kamuya açık hale geldikten sonra saldırganlar, algılamayı atlamak için PDF dosyalarına ve URL’lere geçti.
Artık, aracın doğrulanmasından önce otomatik analizi önlemek için PDF’lerdeki CAPTCHA’lar ve QR kodları da dahil olmak üzere çok katmanlı kaçınma kullanıyorlar; bu da, halka açık bilgilere dayandıkları için saldırıların durdurulmasını zorlaştırıyor.
Analizi engellemek için dinamik olarak yüklenen JavaScript kitaplıkları ve Base64 kodlu dizeler dahil olmak üzere karartılmış içerik kullanır, anti-bot önlemleri uygular ve PBKDF2’den türetilmiş bir anahtarla AES kullanarak verileri şifreler.
Base64 kodlu bir zaman damgasıyla bir JWT oluşturulur ve AJAX isteklerinde şifrelenmiş verilerle birlikte kullanılır.
Hata işleme, geçersiz veriler ve başarısız istekler de dahil olmak üzere çeşitli senaryolar için dahil edilmiştir.
Komut dosyası, güvenlik için bir Telegram belirteci ve API anahtarı kullanıyor ve kullanıcıları belirli parametrelere göre yönlendiriyor ve Base64 kodlaması ve dize manipülasyonu gibi gizleme teknikleri, analizi daha da karmaşık hale getiriyor.
Kimlik avı kitinin kimlik bilgilerini çalması ve kullanıcıdan gelen MFA istemini ele geçirmesi, ardından MFA bilgilerini yasal hizmete iletmesi ve oturum çerezini kullanması nedeniyle, Çok Faktörlü Kimlik Doğrulamayı (MFA) atlamak için Ortadaki Düşman (AiTM) tekniğinden yararlanır. mağdurun kimliğine bürünerek erişim sağlamak.
Greatness öncelikle Amerika Birleşik Devletleri finansal hizmetler sektörünü hedef alıyor ancak aynı zamanda kimlik avı e-postalarının genellikle kötü amaçlı bir bağlantıya yönlendiren bir QR kodu içerdiği imalat, enerji, perakende ve danışmanlık sektörlerine karşı da kullanılıyor.
Trellix’teki araştırmacılar, kullanıcı kimlik bilgilerini çalan kötü amaçlı URL’ler buldu ve bunlardan bazıları görünüşte meşru paylaşılan dosyalara veya eFax sayfalarına yönlendiriyor; bu da, siber suçluların güvenlik önlemlerini atlatmak için kullandığı bir araç olan Greatness’ın gelişen tehdidini vurguluyor.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers