.png)
Un nouvel outil de Phishing-as-a-Service (PaaS) appelé “Greatness” a été déployé dans le cadre de plusieurs campagnes de phishing depuis au moins la mi-2022 et des organisations utilisant Microsoft 365 aux États-Unis, au Canada, au Royaume-Uni, en Australie et en Afrique du Sud.
Les entreprises manufacturières, les organisations de soins de santé et les entreprises technologiques des pays anglophones sont les plus ciblées par les hameçonneurs tirant parti de Greatness.
Dans un nouveau rapport de Cisco Talos, les chercheurs expliquent comment la plateforme de phishing Greatness a été lancée à la mi-2022, avec un pic d'activité en décembre 2022 puis en mars 2023. Ils ont détaillé leurs découvertes sur “Greatness”, un guichet unique pour tous les besoins d'un cybercriminel en matière d'hameçonnage.
Avec Greatness, toute personne ayant des compétences techniques même rudimentaires peut concevoir des leurres de phishing convaincants basés sur Microsoft 365, puis mener des attaques de type man-in-the-middle qui volent les identifiants d'authentification, même face à l'authentification multifactorielle (MFA), et bien d'autres choses encore. D'après cette enquête, Greatness cible uniquement les victimes via des pages de phishing Microsoft 365. Jusqu'à présent, la moitié des cibles ont été concentrées aux États-Unis, et d'autres attaques ont eu lieu en Europe de l'Ouest, en Australie, au Brésil, au Canada et en Afrique du Sud.
L'outil est en circulation depuis au moins la mi-2022 et a été utilisé dans des attaques contre des entreprises des secteurs de la fabrication, de la santé et de la technologie, entre autres. “Il est conçu pour être accessible”, explique le président de l'association. Nick Biasini, responsable de la sensibilisation pour Cisco Talos. “Cela démocratise l'accès aux campagnes de phishing”.
Le groupe criminel à l'origine de PaaS propose à ses clients un constructeur de pièces jointes et de liens pour créer des pages de leurre et de connexion d'apparence authentique.
Pour une victime, Greatness se présentera sous la forme d'un courriel avec un lien, ou généralement une pièce jointe déguisant une page HTML. En cliquant sur la pièce jointe, une image floue d'un document Microsoft s'ouvrira derrière une roue de chargement, donnant l'impression que le fichier est en train de se charger. Mais le document ne se charge jamais. Au lieu de cela, la victime est redirigée vers une page de connexion à Microsoft 365. Cela pourrait sembler suspect si ce n'est que l'adresse électronique de la victime, ainsi que le logo de son entreprise, sont déjà pré-remplis sur la page, ce qui donne un air de légitimité à toute l'affaire.
C'est à ce moment-là que le stratagème de l'homme du milieu commence. La victime soumet son mot de passe à 365, sans savoir qu'elle l'aide à se connecter à son propre agresseur. Même si la victime a mis en place un système MFA, ce n'est pas un problème. 365 demande un code, la victime le soumet, Greatness l'intercepte et la ruse continue. Greatness collecte ses cookies de session authentifiés et les transmet à l'acteur de la menace via Telegram ou son panneau d'administration.
Avant, il fallait du temps, des efforts et du codage pour concevoir des attaques d'hameçonnage. qui étaient si convaincantes. Avec Greatness, il te suffit de remplir un formulaire : titre, légende, image d'une feuille de calcul Excel pour les piéger. L'activation de la fonction “autograb” pré-remplit automatiquement la page de connexion 365 avec l'adresse électronique de la victime.
“En gros, tu payes, tu as accès à ton API, et c'est tout”, explique Biasani. “Il faut comprendre certaines choses de base, comme ce que sont les clés API, et comment les appliquer dans le portail, mais c'est assez, assez convivial.” Parce que Greatness est si lisse dans sa présentation et dans sa façon de travailler. contourne sans effort le MFA, la simple sensibilisation et la cyberhygiène pourraient ne pas suffire à sauver une entreprise de son emprise.
Dans les formations de simulation d'attaque utilisant Microsoft 365 E5, ou Microsoft Defender pour Office 365 Plan 2, les simulations sont des cyberattaques bénignes que tu exécutes dans ton entreprise. Ces simulations de formation permettent de tester ta sécurité informatique et de former tes employés à . accroître leur prise de conscience. et diminuent leur vulnérabilité aux attaques.
Microsoft 365 Defender est une suite d'outils de défense utilisés pour détecter, prévenir, enquêter et répondre sur différentes surfaces dans ton environnement Microsoft 365. Cela comprend les terminaux, les identités, les courriels et les applications. La plateforme de productivité basée sur le cloud Microsoft 365 est utilisée par de nombreuses organisations dans le monde entier, ce qui en fait une cible précieuse pour les cybercriminels qui tentent de voler des données ou des informations d'identification pour les utiliser dans des violations de réseau.
Cisco Talos : Microsoft : Dark Reading : Infosecurity Magazine : TitanHQ : Bleeping Computer :
Cloud Academy : HelpNetSecurity :
Tu pourrais aussi lire :
Les cybercriminels exploitent de nouveaux outils d'intelligence artificielle pour multiplier les attaques d'hameçonnage:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S'inscrire
