网络钓鱼即服务平台 Greatness 使用量激增

研究人员近期发现，使用 Greatness 网络钓鱼工具包针对 Microsoft 365 用户，窃取用户登录凭据的恶意 HTML 附件活动正在激增。

Greatness 是一个网络钓鱼即服务平台，由被称为 fisherstell 的攻击者开发。该工具包自从 2022 年夏天以来一直保持活跃，能够为任何人提供通用的基础设施和攻击工具，每月付费价值 120 美元的比特币即可使用。

分析人员指出，攻击活动从 2023 年 12 月一直持续到 2024 年 1 月。目前尚不清楚一共有多少受害者，但 Greatness 被业界广泛使用。运营方在 Telegram 中提供了有关工具包使用的操作指南，甚至包含各种使用技巧和提示。最新研究人员发现 Greatness 网络钓鱼工具包使用的激增，也是运营方对相关技术进行了迭代升级。

为什么 Greatness 如此流行？

Greatness 会保持定期更新，不断进化升级绕过检测与防御机制。运营方在 2024 年 1 月初更新了最新版本，也在 Greatness Hub 的 Telegram 上发布了文档，为用户详细介绍了关键功能更新与使用提示。

1706537581_65b7b26d1985a60900ec3.png!small?1706537581702

更新文档

更新的功能主要包括：

可自定义电子邮件：允许用户定制化发件人姓名、电子邮件地址、邮件主题、消=息、附件与二维码，增强攻击的指向性与参与度。
反检测措施：支持随机标头、编码和混淆等功能，便于绕过垃圾邮件过滤/检测系统。

Greatness 如何运作？

在 Telegram 中订阅，即可方便地访问 Greatness 平台。感兴趣的网络犯罪分子，每月支付 120 美元即可获得持续更新的攻击工具。网络钓鱼即服务平台大幅度降低了网络犯罪的入门门槛。

1706537600_65b7b28045333a9bb965b.png!small?1706537600732

定价与订阅

攻击者在平台内创建网络钓鱼攻击，然后平台会生成看起来可信的网络钓鱼邮件或者附件文件，通常是 Office 等文档。当受害者与网络钓鱼文档交互时，例如单击链接或者打开附件，Greatness 即可捕获用户的登录凭据。

Greatness 已经超越了传统的凭据盗窃，支持提示受害者输入那些发送到其手机或者电子邮件的代码来绕过服务的双因子认证（MFA）。利用这技术，可以更进一步全面确保入侵的可靠性。被窃取的凭据会通过 Telegram 发送给攻击者，也就完成了网络钓鱼。

HTML 附件会将编码后的数据属性（包括钓鱼 URL）隐藏在随机 HTML 元素中。 HTML 附件多种多样，支持 PDF、Excel、Word、压缩文件与可执行文件，还支持通过二维码来投递钓鱼 URL。

Greatness 利用 classList 属性来访问隐藏的属性，再利用 tab 对数据进行解码，最后将网络钓鱼代码附加到 HTML 正文中。该工具包针对使用 Microsoft 365 的组织进行攻击，旨在窃取登录凭据。运营方甚至提供模糊处理 HTML 文件的选项，使攻击者可以将其作为附件发送进行攻击，这样的成功率通常更高。