Sneaky 2FA Phishing Kit
Výzkumníci v oblasti kybernetické bezpečnosti odhalili sofistikovanou phishingovou sadu Adversary-in-the-Middle (AitM) s názvem Sneaky 2FA, která se aktivně zaměřuje na účty Microsoft 365 minimálně od října 2024. Tato sada je navržena tak, aby zachytila přihlašovací údaje a dvoufaktorové ověřování ( 2FA) nabízí aktérům hrozeb mocný nástroj pro kompromitaci účtu.
Obsah
Široké přijetí a funkce Sneaky 2FA
Bylo identifikováno téměř 100 domén hostujících phishingové stránky Sneaky 2FA, což signalizuje mírné přijetí mezi kyberzločinci. Tato sada, prodávaná jako Phishing-as-a-Service (PhaaS) skupinou s názvem Sneaky Log, je distribuována prostřednictvím telegramového robota s bohatými funkcemi. Zákazníci obdrží zatemněnou verzi zdrojového kódu, která jim umožňuje nasadit jej nezávisle.
Phishingové kampaně zacílené na oběti
Bylo pozorováno, že kampaně využívající Sneaky 2FA odesílají falešné e-maily s potvrzením o platbě obsahující přílohy PDF. Tyto PDF obsahují QR kódy, které po naskenování přesměrují oběti na phishingové stránky navržené tak, aby napodobovaly přihlašovací portály Microsoft 365. Tyto stránky jsou hostovány na kompromitované infrastruktuře, často zahrnující weby WordPress, a automaticky vyplňují e-mailové adresy obětí, aby se zvýšila legitimita.
Robustní úniková a antianalytická taktika
Sneaky 2FA využívá pokročilé anti-bot a anti-analytické techniky. Filtruje provoz a využívá výzvy Cloudflare Turnstile k omezení přístupu k jeho stránkám pro získávání pověření. Sada také provádí kontroly k detekci a odolnosti vůči kontrole prostřednictvím vývojářských nástrojů webového prohlížeče. Návštěvníci z datových center, proxy serverů nebo VPN jsou přesměrováni na stránku Wikipedie související s Microsoftem prostřednictvím služby href.li, čímž si sada vysloužila přezdívku WikiKit od TRAC Labs.
Klamavé vizuální prvky zavádějící uživatele
Pro zvýšení autenticity Sneaky 2FA zahrnuje rozmazané obrázky legitimních rozhraní společnosti Microsoft jako pozadí na svých falešných přihlašovacích stránkách. Cílem této taktiky je oklamat uživatele, aby zadali své přihlašovací údaje pod dojmem, že přistupují ke skutečnému obsahu společnosti Microsoft.
Licencování a odkazy na obchod W3LL
Sada Sneaky 2FA vyžaduje ke svému fungování aktivní předplatné s ověřením licenčního klíče prostřednictvím centrálního serveru. Služba je inzerována za 200 $ měsíčně a nabízí exkluzivní přístup k jejím funkcím. Vyšetřování také odhalilo spojení s obchodem W3LL Store, phishingovým syndikátem dříve propojeným s panelem W3LL Panel a nástroji používanými při útocích na kompromitaci obchodních e-mailů (BEC). Zatímco Sneaky 2FA sdílí některé kódy a techniky s panelem W3LL, vědci se domnívají, že nejde o přímého nástupce.
Historie opětovného použití kódu a migrace
Zajímavé je, že části kódové základny Sneaky 2FA se zdají být vypůjčeny z W3LL OV6, přičemž mezi kyberzločinci v posledních letech kolují deobfuskované verze posledně jmenovaného. Některé domény Sneaky 2FA byly dříve spojeny se sadami AitM, jako jsou Evilginx2 a Greatness, což naznačuje posun mezi některými útočníky směrem k přijetí nové služby.
Neobvyklé chování uživatelského agenta: červená vlajka
Jednou z nejvýraznějších vlastností Sneaky 2FA je použití různých pevně zakódovaných řetězců User-Agent během procesu ověřování. I když k takovým přechodům může dojít v legitimních scénářích (např. přepínání mezi desktopovými aplikacemi a webovými prohlížeči), konkrétní sekvence používaná Sneaky 2FA je velmi nepravidelná. Tato anomálie poskytuje spolehlivý prostředek pro detekci soupravy v akci.
Závěr: Rostoucí hrozba v krajině počítačové kriminality
Sneaky 2FA představuje evoluci v nástrojích pro phishing, kombinující pokročilé únikové taktiky, klamání uživatelů a model PhaaS pro kyberzločince. Jeho přijetí zdůrazňuje neustále se měnící povahu online hrozeb a závažnost zachování ostražitosti vůči sofistikovaným phishingovým kampaním.
