Sneaky 2FA Phishing Kit
Изследователите на киберсигурността откриха сложен комплект за фишинг Adversary-in-the-Middle (AitM), наречен Sneaky 2FA, който активно се насочва към акаунти в Microsoft 365 поне от октомври 2024 г. Този комплект е проектиран да прихваща идентификационни данни и двуфакторно удостоверяване ( 2FA) кодове, предлагащи на заплахите мощен инструмент за акаунт компромис.
Съдържание
Широко разпространено приемане и характеристики на Sneaky 2FA
Идентифицирани са близо 100 домейна, хостващи Sneaky 2FA фишинг страници, което сигнализира за умерено приемане сред киберпрестъпниците. Продаван като Phishing-as-a-Service (PhaaS) от група, наречена Sneaky Log, този комплект се разпространява чрез богат на функции Telegram бот. Клиентите получават обфусцирана версия на изходния код, което им позволява да го внедрят независимо.
Фишинг кампании, насочени към жертви
Наблюдавано е, че кампании, използващи Sneaky 2FA, изпращат фалшиви имейли с разписки за плащане, съдържащи PDF прикачени файлове. Тези PDF файлове включват QR кодове, които при сканиране пренасочват жертвите към фишинг страници, предназначени да имитират портали за влизане в Microsoft 365. Тези страници се хостват на компрометирана инфраструктура, често включваща уебсайтове на WordPress, и автоматично попълват имейл адресите на жертвите, за да повишат легитимността.
Устойчиви тактики за укриване и анти-анализ
Sneaky 2FA използва усъвършенствани техники за анти-бот и анти-анализ. Той филтрира трафика и използва Cloudflare Turnstile предизвикателства, за да ограничи достъпа до своите страници за събиране на идентификационни данни. Комплектът също така изпълнява проверки, за да открие и да устои на контрол чрез инструменти за разработчици на уеб браузър. Посетителите от центрове за данни, проксита или VPN се пренасочват към свързана с Microsoft страница в Wikipedia чрез услугата href.li, спечелвайки на комплекта псевдонима WikiKit от TRAC Labs.
Измамни визуални елементи за подвеждане на потребителите
За да подобри своята автентичност, Sneaky 2FA включва замъглени изображения на легитимни интерфейси на Microsoft като фон на своите фалшиви страници за вход. Тази тактика има за цел да подмами потребителите да въведат своите идентификационни данни с впечатлението, че имат достъп до оригинално съдържание на Microsoft.
Лицензиране и връзки към W3LL Store
Комплектът Sneaky 2FA изисква активен абонамент, за да функционира, с проверка на лицензен ключ, извършвана през централен сървър. Услугата се рекламира на $200 на месец, като предлага изключителен достъп до нейните функции. Разследванията също така разкриха връзки с W3LL Store, фишинг синдикат, свързан преди това с панела W3LL и инструменти, използвани при компрометиране на бизнес имейл (BEC) атаки. Въпреки че Sneaky 2FA споделя някои кодове и техники с W3LL Panel, изследователите смятат, че не е пряк наследник.
История на повторното използване и миграцията на код
Интересното е, че части от кодовата база на Sneaky 2FA изглежда са заимствани от W3LL OV6, като деобфускирани версии на последния циркулират сред киберпрестъпниците през последните години. Някои Sneaky 2FA домейни преди това бяха свързани с AitM комплекти като Evilginx2 и Greatness, което предполага промяна сред някои нападатели към приемане на новата услуга.
Необичайно поведение на потребителски агент: Червен флаг
Една от най-отличителните черти на Sneaky 2FA е използването на различни твърдо кодирани низове на User-Agent по време на процеса на удостоверяване. Докато такива преходи могат да възникнат в законни сценарии (напр. превключване между настолни приложения и уеб браузъри), специфичната последователност, използвана от Sneaky 2FA, е силно нередовна. Тази аномалия осигурява надеждно средство за откриване на комплекта в действие.
Заключение: нарастваща заплаха в пейзажа на киберпрестъпността
Sneaky 2FA представлява еволюция в инструментите за фишинг, съчетавайки усъвършенствани тактики за укриване, измама на потребителите и модел PhaaS, за да се погрижи за киберпрестъпниците. Приемането му подчертава непрекъснато променящия се характер на онлайн заплахите и сериозността на оставането на бдителност срещу сложни фишинг кампании.
