Sneaky 2FA Phishing Kit
Els investigadors de ciberseguretat han descobert un sofisticat kit de phishing Adversary-in-the-Middle (AitM), anomenat Sneaky 2FA, que s'ha orientat activament als comptes de Microsoft 365 des d'almenys l'octubre de 2024. Aquest kit està dissenyat per interceptar credencials i autenticació de dos factors ( 2FA), que ofereix als actors d'amenaça una eina potent per comprometre el compte.
Taula de continguts
Adopció generalitzada i característiques de Sneaky 2FA
S'han identificat prop de 100 dominis que allotgen pàgines de pesca Sneaky 2FA, cosa que indica una adopció moderada entre els ciberdelinqüents. Venut com a Phishing-as-a-Service (PhaaS) per un grup anomenat Sneaky Log, aquest kit es distribueix a través d'un bot de Telegram ric en funcions. Els clients reben una versió ofuscada del codi font, cosa que els permet desplegar-lo de manera independent.
Campanyes de pesca dirigides a víctimes
S'ha observat que campanyes que utilitzen Sneaky 2FA enviaven correus electrònics de rebuts de pagament falsos que contenien fitxers adjunts en PDF. Aquests PDF inclouen codis QR que, quan s'escanegen, redirigeixen les víctimes a pàgines de pesca dissenyades per imitar els portals d'inici de sessió de Microsoft 365. Aquestes pàgines s'allotgen en una infraestructura compromesa, que sovint impliquen llocs web de WordPress, i emplenen automàticament les adreces de correu electrònic de les víctimes per augmentar la legitimitat.
Tàctiques d'evasió robusta i antianàlisi
Sneaky 2FA utilitza tècniques avançades anti-bot i antianàlisi. Filtra el trànsit i utilitza els reptes de Cloudflare Turnstile per restringir l'accés a les seves pàgines de recollida de credencials. El kit també realitza comprovacions per detectar i resistir l'escrutini mitjançant les eines de desenvolupament del navegador web. Els visitants de centres de dades, servidors intermediaris o VPN són redirigits a una pàgina de la Viquipèdia relacionada amb Microsoft mitjançant el servei href.li, guanyant el kit amb el sobrenom de WikiKit de TRAC Labs.
Visuals enganyosos per enganyar els usuaris
Per millorar la seva autenticitat, Sneaky 2FA incorpora imatges borroses d'interfícies legítimes de Microsoft com a fons a les seves pàgines d'inici de sessió falses. Aquesta tàctica pretén enganyar els usuaris perquè introdueixin les seves credencials amb la impressió que estan accedint al contingut genuí de Microsoft.
Llicència i enllaços a la botiga W3LL
El kit Sneaky 2FA requereix una subscripció activa per funcionar, amb una verificació de clau de llicència realitzada a través d'un servidor central. El servei s'anuncia a 200 dòlars al mes, oferint accés exclusiu a les seves funcions. Les investigacions també han revelat connexions a la botiga W3LL, un sindicat de pesca prèviament vinculat al panell W3LL i eines utilitzades en atacs de compromís de correu electrònic empresarial (BEC). Tot i que Sneaky 2FA comparteix alguns codis i tècniques amb el panell W3LL, els investigadors creuen que no és un successor directe.
Una història de la reutilització i la migració del codi
Curiosament, parts de la base de codis de Sneaky 2FA sembla que s'han manllevat de W3LL OV6, amb versions desofuscades d'aquest últim circulant entre els ciberdelinqüents els darrers anys. Alguns dominis Sneaky 2FA estaven associats anteriorment a kits AitM com Evilginx2 i Greatness, cosa que suggereix un canvi entre alguns atacants cap a l'adopció del nou servei.
Comportament inusual de l'agent d'usuari: una bandera vermella
Un dels trets més distintius de Sneaky 2FA és l'ús de diferents cadenes d'agent d'usuari codificades durant el procés d'autenticació. Tot i que aquestes transicions es poden produir en escenaris legítims (per exemple, canviar entre aplicacions d'escriptori i navegadors web), la seqüència específica utilitzada per Sneaky 2FA és molt irregular. Aquesta anomalia proporciona un mitjà fiable per detectar el kit en acció.
Conclusió: una amenaça creixent en el panorama de la ciberdelinqüència
Sneaky 2FA representa una evolució en les eines de pesca, combinant tàctiques d'evasió avançades, engany dels usuaris i un model PhaaS per atendre els ciberdelinqüents. La seva adopció posa de manifest la naturalesa en constant canvi de les amenaces en línia i la gravetat de mantenir-se vigilant contra les campanyes de pesca sofisticades.
