Sneaky 2FA Phishing Kit
اكتشف باحثو الأمن السيبراني مجموعة احتيال متطورة تسمى Adversary-in-the-Middle (AitM)، والتي تستهدف بشكل نشط حسابات Microsoft 365 منذ أكتوبر 2024 على الأقل. تم تصميم هذه المجموعة لاعتراض بيانات الاعتماد وأكواد المصادقة الثنائية (2FA)، مما يوفر للجهات الفاعلة في مجال التهديد أداة قوية لاختراق الحسابات.
جدول المحتويات
انتشار استخدام المصادقة الثنائية الخفية وميزاتها
تم التعرف على ما يقرب من 100 نطاق يستضيف صفحات التصيد الاحتيالي باستخدام المصادقة الثنائية الخفية، مما يشير إلى تبني معتدل بين مجرمي الإنترنت. يتم بيع هذه المجموعة، التي تُباع على أنها خدمة التصيد الاحتيالي (PhaaS) بواسطة مجموعة تسمى Sneaky Log، من خلال روبوت Telegram الغني بالميزات. يتلقى العملاء نسخة مشوشة من الكود المصدر، مما يسمح لهم بنشره بشكل مستقل.
حملات التصيد الاحتيالي التي تستهدف الضحايا
لقد لوحظ أن الحملات التي تستخدم المصادقة الثنائية الخفية ترسل رسائل بريد إلكتروني مزيفة تحتوي على مرفقات PDF. تتضمن ملفات PDF هذه أكواد QR التي، عند مسحها ضوئيًا، تعيد توجيه الضحايا إلى صفحات التصيد المصممة لتقليد بوابات تسجيل الدخول إلى Microsoft 365. يتم استضافة هذه الصفحات على بنية تحتية مخترقة، وغالبًا ما تتضمن مواقع WordPress، وتملأ عناوين البريد الإلكتروني للضحايا تلقائيًا لزيادة الشرعية.
تكتيكات قوية للتهرب ومكافحة التحليل
تستخدم Sneaky 2FA تقنيات متقدمة لمكافحة الروبوتات والتحليلات. فهي تقوم بتصفية حركة المرور وتستخدم تحديات Cloudflare Turnstile لتقييد الوصول إلى صفحات جمع بيانات الاعتماد الخاصة بها. كما تقوم المجموعة بإجراء عمليات فحص للكشف عن التدقيق ومقاومته من خلال أدوات مطوري متصفح الويب. يتم إعادة توجيه الزوار من مراكز البيانات أو وكلاء أو شبكات VPN إلى صفحة ويكيبيديا ذات صلة بشركة Microsoft عبر خدمة href.li، مما أكسب المجموعة لقب WikiKit من TRAC Labs.
صور مضللة لتضليل المستخدمين
لتعزيز مصداقيتها، تقوم Sneaky 2FA بدمج صور غير واضحة لواجهات Microsoft المشروعة كخلفيات على صفحات تسجيل الدخول المزيفة. تهدف هذه الحيلة إلى خداع المستخدمين لإدخال بيانات اعتمادهم تحت الانطباع بأنهم يصلون إلى محتوى Microsoft الأصلي.
التراخيص والروابط إلى متجر W3LL
تتطلب مجموعة Sneaky 2FA اشتراكًا نشطًا للعمل، مع إجراء التحقق من مفتاح الترخيص من خلال خادم مركزي. يتم الإعلان عن الخدمة مقابل 200 دولار شهريًا، مما يوفر وصولاً حصريًا إلى ميزاتها. كشفت التحقيقات أيضًا عن وجود صلات بمتجر W3LL، وهو عبارة عن مجموعة تصيد مرتبطة سابقًا بلوحة تحكم W3LL والأدوات المستخدمة في هجمات اختراق البريد الإلكتروني للشركات (BEC). في حين أن Sneaky 2FA تشترك في بعض التعليمات البرمجية والتقنيات مع لوحة تحكم W3LL، يعتقد الباحثون أنها ليست خليفة مباشرة.
تاريخ إعادة استخدام الكود ونقله
ومن المثير للاهتمام أن أجزاء من قاعدة بيانات Sneaky 2FA تبدو وكأنها مستعارة من W3LL OV6، مع تداول إصدارات غير مشوشة من هذا الأخير بين مجرمي الإنترنت في السنوات الأخيرة. كانت بعض نطاقات Sneaky 2FA مرتبطة سابقًا بمجموعات AitM مثل Evilginx2 وGreatness، مما يشير إلى تحول بين بعض المهاجمين نحو تبني الخدمة الجديدة.
سلوك غير عادي لوكيل المستخدم: علامة تحذيرية
من بين السمات المميزة لـ Sneaky 2FA هو استخدامها لسلاسل مختلفة من User-Agent أثناء عملية المصادقة. وفي حين قد تحدث مثل هذه التحولات في السيناريوهات المشروعة (على سبيل المثال، التبديل بين تطبيقات سطح المكتب ومتصفحات الويب)، فإن التسلسل المحدد الذي تستخدمه Sneaky 2FA غير منتظم للغاية. توفر هذه الشذوذ وسيلة موثوقة لاكتشاف المجموعة أثناء العمل.
الخاتمة: تهديد متزايد في مشهد الجرائم الإلكترونية
يمثل المصادقة الثنائية الخفية تطورًا في أدوات التصيد الاحتيالي، حيث يجمع بين تكتيكات التهرب المتقدمة وخداع المستخدم ونموذج PhaaS لتلبية احتياجات مجرمي الإنترنت. ويسلط تبنيه الضوء على الطبيعة المتغيرة باستمرار للتهديدات عبر الإنترنت وخطورة البقاء يقظًا ضد حملات التصيد الاحتيالي المعقدة.
