Platform Phishing-as-a-Service (PhaaS) bernama ‘Greatness’ mengalami lonjakan aktivitas karena menargetkan organisasi yang menggunakan Microsoft 365 di Amerika Serikat, Kanada, Inggris Raya, Australia, dan Afrika Selatan.
Platform produktivitas berbasis cloud Microsoft 365 digunakan oleh banyak organisasi di seluruh dunia, menjadikannya target berharga bagi penjahat dunia maya yang berupaya mencuri data atau kredensial untuk digunakan dalam pelanggaran jaringan.
Dalam laporan baru oleh Cisco Talos, para peneliti menjelaskan bagaimana platform phishing Greatness diluncurkan pada pertengahan 2022, dengan lonjakan aktivitas pada Desember 2022 dan kemudian lagi pada Maret 2023.
Sebagian besar korban berada di Amerika Serikat, dengan banyak yang bekerja di bidang manufaktur, perawatan kesehatan, teknologi, pendidikan, real estat, konstruksi, keuangan, dan layanan bisnis.
Serangan ‘Kehebatan’
The Greatness Phishing-as-a-Service berisi semua yang dibutuhkan aktor phishing wannabe untuk melakukan kampanye dengan sukses.
Untuk melancarkan serangan, pengguna layanan mengakses panel admin ‘Kehebatan’ menggunakan kunci API mereka dan memberikan daftar alamat email target.
Platform PhaaS mengalokasikan infrastruktur yang diperlukan, seperti server yang akan menghosting halaman phishing, serta untuk membuat lampiran HTML.
Afiliasi kemudian membuat konten email dan menyediakan materi lain atau mengubah pengaturan default sesuai kebutuhan.
Layanan tersebut kemudian mengirimkan email kepada para korban, yang menerima email phishing dengan lampiran HTML. Saat lampiran ini dibuka, kode JavaScript yang dikaburkan dijalankan di browser untuk terhubung dengan server ‘Keagungan’ untuk mengambil halaman phishing yang akan ditampilkan kepada pengguna.
Layanan phishing akan secara otomatis menyuntikkan logo perusahaan target dan gambar latar belakang dari halaman login Microsoft 365 perusahaan yang sebenarnya.
Korban hanya memasukkan kata sandi mereka di halaman phishing yang meyakinkan, karena Greatness mengisi email yang benar terlebih dahulu untuk menciptakan rasa legitimasi.
Pada tahap ini, platform phishing bertindak sebagai proksi antara browser korban dan halaman login Microsoft 365 yang sebenarnya, menangani alur autentikasi untuk mendapatkan cookie sesi yang valid untuk akun target.
Jika akun dilindungi oleh autentikasi dua faktor, Greatness akan meminta korban untuk memberikannya sambil memicu permintaan pada layanan Microsoft yang sebenarnya, sehingga kode satu kali dikirimkan ke perangkat target.
Setelah kode MFA diberikan, Greatness akan mengautentikasi sebagai korban di platform Microsoft yang sebenarnya dan mengirimkan cookie sesi yang diautentikasi ke afiliasi melalui saluran Telegram atau di panel web layanan.
“Sesi yang diautentikasi biasanya habis setelah beberapa saat, yang mungkin merupakan salah satu alasan penggunaan bot telegram – ini memberi tahu penyerang tentang cookie yang valid sesegera mungkin untuk memastikan mereka dapat menjangkau dengan cepat jika targetnya menarik,” jelas Cisco.
Dari sana, penyerang dapat menggunakan cookie sesi ini untuk mengakses email, file, dan data korban di layanan Microsoft 365.
Dalam banyak kasus, kredensial yang dicuri juga digunakan untuk menembus jaringan perusahaan, yang menyebabkan serangan yang lebih berbahaya, seperti penyebaran ransomware.
