研究人员近期发现，使用 Greatness 网络钓鱼工具包针对 Microsoft 365 用户，窃取用户登录凭据的恶意 HTML 附件活动正在激增。

Greatness 是一个网络钓鱼即服务平台，由被称为 fisherstell 的攻击者开发。该工具包自从 2022 年夏天以来一直保持活跃，能够为任何人提供通用的基础设施和攻击工具，每月付费价值 120 美元的比特币即可使用。

分析人员指出，攻击活动从 2023 年 12 月一直持续到 2024 年 1 月。目前尚不清楚一共有多少受害者，但 Greatness 被业界广泛使用。运营方在 Telegram 中提供了有关工具包使用的操作指南，甚至包含各种使用技巧和提示。最新研究人员发现 Greatness 网络钓鱼工具包使用的激增，也是运营方对相关技术进行了迭代升级。

为什么 Greatness 如此流行？

Greatness 会保持定期更新，不断进化升级绕过检测与防御机制。运营方在 2024 年 1 月初更新了最新版本，也在 Greatness Hub 的 Telegram 上发布了文档，为用户详细介绍了关键功能更新与使用提示。

更新文档

更新的功能主要包括：

• 可自定义电子邮件：允许用户定制化发件人姓名、电子邮件地址、邮件主题、消=息、附件与二维码，增强攻击的指向性与参与度。
• 反检测措施：支持随机标头、编码和混淆等功能，便于绕过垃圾邮件过滤/检测系统。

Greatness 如何运作？

在 Telegram 中订阅，即可方便地访问 Greatness 平台。感兴趣的网络犯罪分子，每月支付 120 美元即可获得持续更新的攻击工具。网络钓鱼即服务平台大幅度降低了网络犯罪的入门门槛。

定价与订阅

攻击者在平台内创建网络钓鱼攻击，然后平台会生成看起来可信的网络钓鱼邮件或者附件文件，通常是 Office 等文档。当受害者与网络钓鱼文档交互时，例如单击链接或者打开附件，Greatness 即可捕获用户的登录凭据。

Greatness 已经超越了传统的凭据盗窃，支持提示受害者输入那些发送到其手机或者电子邮件的代码来绕过服务的双因子认证（MFA）。利用这技术，可以更进一步全面确保入侵的可靠性。被窃取的凭据会通过 Telegram 发送给攻击者，也就完成了网络钓鱼。

HTML 附件会将编码后的数据属性（包括钓鱼 URL）隐藏在随机 HTML 元素中。 HTML 附件多种多样，支持 PDF、Excel、Word、压缩文件与可执行文件，还支持通过二维码来投递钓鱼 URL。

Greatness 利用 classList 属性来访问隐藏的属性，再利用 tab 对数据进行解码，最后将网络钓鱼代码附加到 HTML 正文中。该工具包针对使用 Microsoft 365 的组织进行攻击，旨在窃取登录凭据。运营方甚至提供模糊处理 HTML 文件的选项，使攻击者可以将其作为附件发送进行攻击，这样的成功率通常更高。

社会工程学策略

Greatness 工具包生成的网络钓鱼邮件的显著特征，实际上也是所有成功的网络钓鱼邮件的显著特征，就是要营造一种虚假的紧迫感。其中包含足够的信息说服收件人打开附件，不要仔细考虑风险。

研究人员发现的案例中，电子邮件通常包含一些短语，例如“紧急发票付款”、“需要紧急账户验证”等。通过营造紧迫感，引诱攻击目标打开电子邮件与恶意附件。

网络钓鱼变种

显示紧急就是为了激起攻击目标的好奇心，促使其打开附件查看其中的内容。另外，还有发送“机密员工名单”与“秘密奖金申请”等内容来引诱攻击目标。

Greatness 工具包更进一步，还可以欺诈性修改发件人与文件格式，进一步使电子邮件看起来是真实的。附件看似来自受信任的来源，例如银行或者雇主，并使用了熟悉的文件格式，如发票、税务或者员工福利。这些信息都增加了网络钓鱼的可信性，降低了攻击目标对其的怀疑。

使用二维码的网络钓鱼

一旦社会工程学欺骗成功，攻击目标打开了电子邮件。用户点击附件可能会将受害者引导至类似于合法登录页面的虚假网站，引诱受害者输入用户凭据。又或者，附件直接携带恶意软件，这些恶意软件会自行安装在失陷主机上，使得攻击者可以访问用户账户。

参考来源

Trustware