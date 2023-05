Un service lancé par des cybercriminels permet de créer sur mesure une page de phishing, avec un mail préenregistré et un logo d’entreprise. Des campagnes de piratage ont été lancées à travers le monde à partir de cette dangereuse plateforme.

Hacker en deux clics. Une plateforme pour créer une campagne de phishing à la demande a été repérée et analysée dans un rapport publié ce 10 mai 2023 par l’entreprise de cybersécurité Cisco Talos. Ce service illégal baptisé « Greatness » – la grandeur en anglais – propose de concevoir un mail avec une pièce jointe ainsi qu’une fausse page de connexion du groupe que le malfaiteur veut cibler.

Le « client » n’a qu’à préremplir le document d’information contenant toutes les adresses cibles et il accède ensuite à un panneau d’administration, pour lancer sa campagne. Toute l’opération sera hébergée sur un serveur loué par l’entreprise criminelle.

Une fois que la cible reçoit le mail et clique sur la pièce jointe, un code Java Script est exécuté pour lancer un faux panneau de connexion Microsoft 365, avec le logo de l’entreprise concernée. La victime saisit uniquement son mot de passe, l’adresse mail sera déjà préremplie pour renforcer la légitimité de l’opération.

Un exemple de faux panneau de connexion réalisé par Greatness. // Source : Cisco Talos

« Le client » prévenu dans la foulée

Les créateurs de la plateforme ont perfectionné leur « produit », puisque si le compte attaqué est protégé par la double authentification, Greatness invitera la victime à déclencher une demande réelle, et récupéra le code unique. Une fois tous les identifiants en main, le prestataire s’authentifiera et enverra le cookie de session au client, depuis la plateforme dédie ou sur un canal Telegram.

« Les sessions authentifiées expirent généralement après un certain temps, ce qui est peut-être l’une des raisons pour lesquelles un bot Telegram est utilisé – il informe l’attaquant dès que possible pour s’assurer qu’il peut atteindre rapidement sa cible », explique le rapport.

Les comptes de gestion Greatness ressemblent à n’importe quel outil de personnalisation de site. // Source : Cisco Talos

Des victimes en France

Greatness se concentre uniquement pour l’instant sur les pages d’hameçonnage de Microsoft 365, le service de messagerie professionnel, et se consacre donc surtout à piéger des employés d’entreprises. Parmi les secteurs les plus ciblés, on trouve des manufactures, des entreprises de la tech et de la santé situées aux États-Unis, au Royaume-Uni, en Australie, en Afrique du Sud et même en France, avec un pic d’activité détecté en décembre 2022 et mars 2023.

Les principaux intéressés pourraient être des receleurs d’identifiants et d’informations, voire des groupes de ransomware qui s’adresseraient directement à ce type de service pour installer plus rapidement leur redoutable logiciel dans le système de la victime. Ces nouveaux outils sont également la preuve que la cybercriminalité se démocratise. Les malfaiteurs se transforment en startupers, ils reprennent les standards du marché réel avec des services simple d’accès et disponible sur abonnement. Greatness étant toujours en ligne, la prudence est de mise lorsque que vous vous retrouvez face à ces pages de connexion.

