Les utilisateurs de l’offre de Microsoft qui se base sur le cloud ont de quoi s’inquiéter à propos d’une nouvelle menace connue sous le nom de Greatness. Selon un rapport publié par Cisco Talos, il s’agit d’un fournisseur de Phishing-as-a-service qui cible les entreprises à travers le monde en se faisant passer pour le logiciel qui a remplacé Microsoft depuis octobre 2022.
Utilisée pour la première au cours du premier semestre de l’année écoulée, l’attaque a gagné en popularité ces derniers mois. Plusieurs comptes Microsoft 365 appartenant à des entreprises aux États-Unis, au Canada, au Royaume-Uni, en Australie et en Afrique du Sud ont été victimes de Greatness.
Une attaque très simple à mettre en place
Selon les développements faits par Cisco Talos, les attaques de phishing à partir de Greatness sont dirigées vers toutes sortes d’entreprises. Qu’elles interviennent dans le secteur de la santé, de l’éducation, de la construction, de l’immobilier, de la finance, de la fabrication, de la technologie ou encore des services, elles ne sont pas l’abri.
Pour les personnes malveillantes se trouvant derrière ce type d’attaque, le plus important est de réussir à voler des données sensibles aux victimes. Et grâce à sa capacité à créer des pages de renvoi d’apparence authentique, Greatness semble être l’outil parfait. D’autant plus que celui-ci est très facile à utiliser. Contrairement à d’autres dispositifs de ce type, il ne nécessite pas une connaissance poussée en phishing.
Pour mettre en place une attaque, il suffit à un pirate de se connecter au service à l’aide d’une clé API et de fournir au logiciel une liste d’adresses électroniques cibles. Greatness prend la relève et se charge de créer un contenu d’email de phishing sur mesure. Au besoin, le cybercriminel peut modifier ledit courrier à sa guise avant d’autoriser Greatness à les envoyer aux victimes.
Il ne reste plus qu’à attendre qu’un poisson morde à l’hameçon. Dès qu’une cible tombe dans le piège, il autorise sans le savoir l’ouverture d’une pièce jointe. Ce qui va permettre à un code JavaScript de se connecter au serveur du service et transférer dans le système une page malveillante.
À LIRE AUSSI : Alerte Phishing : comment se protéger des arnaques en ligne ?
Une page authentifiée grâce à Microsoft 365
Le rapport de Cisco Talos indique que la page malveillante est en grande partie automatisée. Dès qu’elle intègre le système, elle récupère le journal ainsi que l’image d’arrière-plan de l’entreprise ciblée. Pour ce faire, elle s’appuie sur la page de connexion Microsoft 365 authentique de l’employeur et remplit au préalable l’adresse électronique exacte. Ce qui lui permet de passer inaperçu auprès de la cible.
Une fois cette étape validée, la page malveillante sert d’écran entre l’utilisateur et la page de connexion réelle de Microsoft 365 en s’appuyant sur le flux d’authentification et en faisant même appel au code MFA en cas de configuration de l’authentification multifactorielle. Ainsi, dès que l’utilisateur se connecte à son compte Microsoft 365, les pirates ont la possibilité de collecter ses cookies grâce à l’application Telegram.
« Les sessions authentifiées expirent généralement au bout d’un certain temps, ce qui est peut-être l’une des raisons pour lesquelles le bot Telegram est utilisé — il informe l’attaquant des cookies valides dès que possible pour s’assurer qu’il peut atteindre rapidement la cible si elle est intéressante », indique le rapport de Cisco.
Source : Tech Radar