Sneaky 2FA Phishing Kit
Cybersikkerhedsforskere har afsløret et sofistikeret Adversary-in-the-Middle (AitM) phishing-kit, kaldet Sneaky 2FA, som aktivt har været målrettet mod Microsoft 365-konti siden mindst oktober 2024. Dette sæt er udviklet til at opsnappe legitimationsoplysninger og to-faktor-autentisering ( 2FA) koder, der tilbyder trusselsaktører et kraftfuldt værktøj til regnskab gå på kompromis.
Indholdsfortegnelse
Udbredt anvendelse og funktioner i Sneaky 2FA
Næsten 100 domæner, der hoster Sneaky 2FA-phishing-sider, er blevet identificeret, hvilket signalerer moderat adoption blandt cyberkriminelle. Sælges som Phishing-as-a-Service (PhaaS) af en gruppe kaldet Sneaky Log, og dette sæt distribueres gennem en Telegram-bot med mange funktioner. Kunder modtager en sløret version af kildekoden, så de kan implementere den uafhængigt.
Phishing-kampagner rettet mod ofre
Kampagner, der udnytter Sneaky 2FA, er blevet observeret, der sender falske betalingskvitterings-e-mails, der indeholder PDF-vedhæftninger. Disse PDF'er inkluderer QR-koder, der, når de scannes, omdirigerer ofre til phishing-sider, der er designet til at efterligne Microsoft 365-loginportaler. Disse sider hostes på kompromitteret infrastruktur, der ofte involverer WordPress-websteder, og udfylder automatisk ofrenes e-mailadresser for at øge legitimiteten.
Robust undvigelses- og antianalysetaktik
Sneaky 2FA anvender avancerede anti-bot- og anti-analyseteknikker. Det filtrerer trafik og bruger Cloudflare Turnstile-udfordringer til at begrænse adgangen til sine legitimationsindsamlingssider. Sættet kører også kontrol for at opdage og modstå kontrol gennem webbrowser-udviklerværktøjer. Besøgende fra datacentre, proxyer eller VPN'er omdirigeres til en Microsoft-relateret Wikipedia-side via href.li-tjenesten, hvilket giver sættet kaldenavnet WikiKit fra TRAC Labs.
Vildledende billeder til at vildlede brugere
For at øge dets ægthed inkorporerer Sneaky 2FA slørede billeder af legitime Microsoft-grænseflader som baggrunde på sine falske login-sider. Denne taktik har til formål at narre brugere til at indtaste deres legitimationsoplysninger under indtryk af, at de har adgang til ægte Microsoft-indhold.
Licens og links til W3LL Store
Sneaky 2FA-sættet kræver et aktivt abonnement for at fungere, med en licensnøglebekræftelse udført via en central server. Tjenesten annonceres til $200 pr. måned, og tilbyder eksklusiv adgang til dens funktioner. Undersøgelser har også afsløret forbindelser til W3LL Store, et phishing-syndikat, der tidligere var knyttet til W3LL-panelet, og værktøjer, der blev brugt i business email compromise (BEC) angreb. Mens Sneaky 2FA deler noget kode og teknikker med W3LL Panel, mener forskere, at det ikke er en direkte efterfølger.
En historie om genbrug og migration af kode
Interessant nok ser dele af Sneaky 2FA's kodebase ud til at være lånt fra W3LL OV6, med deobfuscerede versioner af sidstnævnte, der har cirkuleret blandt cyberkriminelle i de seneste år. Nogle Sneaky 2FA-domæner var tidligere forbundet med AitM-sæt som Evilginx2 og Greatness, hvilket tyder på et skift blandt nogle angribere i retning af at adoptere den nye tjeneste.
Usædvanlig brugeragentadfærd: Et rødt flag
Et af Sneaky 2FAs mest karakteristiske træk er dets brug af forskellige hårdkodede User-Agent-strenge under godkendelsesprocessen. Selvom sådanne overgange kan forekomme i legitime scenarier (f.eks. skift mellem desktop-apps og webbrowsere), er den specifikke sekvens, der bruges af Sneaky 2FA, meget uregelmæssig. Denne anomali giver et pålideligt middel til at detektere sættet i aktion.
Konklusion: En voksende trussel i cyberkriminalitetslandskabet
Sneaky 2FA repræsenterer en udvikling inden for phishing-værktøjer, der kombinerer avancerede unddragelsestaktikker, brugerbedrag og en PhaaS-model for at tage højde for cyberkriminelle. Dens vedtagelse fremhæver den stadigt skiftende karakter af onlinetrusler og alvoren i at forblive på vagt over for sofistikerede phishing-kampagner.
