Sneaky 2FA Phishing Kit
Ερευνητές κυβερνοασφάλειας ανακάλυψαν ένα εξελιγμένο κιτ phishing Adversary-in-the-Middle (AitM), που ονομάζεται Sneaky 2FA, το οποίο στοχεύει ενεργά λογαριασμούς Microsoft 365 τουλάχιστον από τον Οκτώβριο του 2024. Αυτό το κιτ έχει σχεδιαστεί για να υποκλέψει διαπιστευτήρια και δύο παράγοντες (Authen) 2FA) κωδικούς, προσφέροντας στους παράγοντες απειλών ένα ισχυρό εργαλείο για λογαριασμό συμβιβασμός.
Πίνακας περιεχομένων
Ευρέως διαδεδομένη υιοθέτηση και χαρακτηριστικά του Sneaky 2FA
Σχεδόν 100 τομείς που φιλοξενούν σελίδες phishing Sneaky 2FA έχουν εντοπιστεί, σηματοδοτώντας μέτρια υιοθέτηση μεταξύ των εγκληματιών του κυβερνοχώρου. Πωλείται ως Phishing-as-a-Service (PhaaS) από μια ομάδα που ονομάζεται Sneaky Log, αυτό το κιτ διανέμεται μέσω ενός bot Telegram πλούσιου σε δυνατότητες. Οι πελάτες λαμβάνουν μια συγκεχυμένη έκδοση του πηγαίου κώδικα, που τους επιτρέπει να τον αναπτύξουν ανεξάρτητα.
Εκστρατείες phishing που στοχεύουν θύματα
Έχουν παρατηρηθεί καμπάνιες που αξιοποιούν το Sneaky 2FA να στέλνουν πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου με αποδείξεις πληρωμής που περιέχουν συνημμένα PDF. Αυτά τα PDF περιλαμβάνουν κωδικούς QR που, όταν σαρώνονται, ανακατευθύνουν τα θύματα σε σελίδες ηλεκτρονικού ψαρέματος που έχουν σχεδιαστεί για να μιμούνται τις πύλες σύνδεσης του Microsoft 365. Αυτές οι σελίδες φιλοξενούνται σε παραβιασμένη υποδομή, που συχνά περιλαμβάνει ιστότοπους WordPress, και συμπληρώνουν αυτόματα τις διευθύνσεις email των θυμάτων για να αυξήσουν τη νομιμότητα.
Ισχυρές τακτικές φοροδιαφυγής και αντι-ανάλυσης
Το Sneaky 2FA χρησιμοποιεί προηγμένες τεχνικές anti-bot και anti-analysis. Φιλτράρει την επισκεψιμότητα και χρησιμοποιεί προκλήσεις του Cloudflare Turnstile για να περιορίσει την πρόσβαση στις σελίδες συλλογής διαπιστευτηρίων του. Το κιτ εκτελεί επίσης ελέγχους για τον εντοπισμό και την αντίσταση στον έλεγχο μέσω των εργαλείων προγραμματιστή του προγράμματος περιήγησης Ιστού. Οι επισκέπτες από κέντρα δεδομένων, διακομιστή μεσολάβησης ή VPN ανακατευθύνονται σε μια σελίδα της Wikipedia που σχετίζεται με τη Microsoft μέσω της υπηρεσίας href.li, αποκτώντας στο κιτ το ψευδώνυμο WikiKit από τα εργαστήρια TRAC.
Παραπλανητικά οπτικά στοιχεία για την παραπλάνηση των χρηστών
Για να βελτιώσει την αυθεντικότητά του, το Sneaky 2FA ενσωματώνει θολές εικόνες νόμιμων διεπαφών της Microsoft ως φόντο στις ψεύτικες σελίδες σύνδεσής του. Αυτή η τακτική στοχεύει να εξαπατήσει τους χρήστες να εισαγάγουν τα διαπιστευτήριά τους με την εντύπωση ότι έχουν πρόσβαση σε αυθεντικό περιεχόμενο της Microsoft.
Αδειοδότηση και Σύνδεσμοι στο W3LL Store
Το κιτ Sneaky 2FA απαιτεί ενεργή συνδρομή για να λειτουργήσει, με επαλήθευση κλειδιού άδειας χρήσης μέσω κεντρικού διακομιστή. Η υπηρεσία διαφημίζεται στα 200 $ το μήνα, προσφέροντας αποκλειστική πρόσβαση στις δυνατότητες της. Οι έρευνες αποκάλυψαν επίσης συνδέσεις με το W3LL Store, ένα συνδικάτο phishing που είχε συνδεθεί στο παρελθόν με το W3LL Panel και εργαλεία που χρησιμοποιούνται σε επιθέσεις επαγγελματικού ηλεκτρονικού ταχυδρομείου (BEC). Ενώ το Sneaky 2FA μοιράζεται κάποιο κώδικα και τεχνικές με το W3LL Panel, οι ερευνητές πιστεύουν ότι δεν είναι άμεσος διάδοχος.
Ιστορία Επαναχρησιμοποίησης Κώδικα και Μετανάστευσης
Είναι ενδιαφέρον ότι τμήματα της βάσης κωδικών του Sneaky 2FA φαίνεται να είναι δανεισμένα από το W3LL OV6, με αποσυστημένες εκδόσεις του τελευταίου να κυκλοφορούν μεταξύ των εγκληματιών του κυβερνοχώρου τα τελευταία χρόνια. Ορισμένοι τομείς Sneaky 2FA είχαν συσχετιστεί προηγουμένως με κιτ AitM όπως το Evilginx2 και το Greatness, υποδηλώνοντας μια στροφή μεταξύ ορισμένων εισβολέων προς την υιοθέτηση της νέας υπηρεσίας.
Ασυνήθιστη συμπεριφορά παράγοντα χρήστη: Μια κόκκινη σημαία
Ένα από τα πιο χαρακτηριστικά γνωρίσματα του Sneaky 2FA είναι η χρήση διαφορετικών κωδικοποιημένων συμβολοσειρών User-Agent κατά τη διαδικασία ελέγχου ταυτότητας. Ενώ τέτοιες μεταβάσεις μπορεί να συμβούν σε νόμιμα σενάρια (π.χ. εναλλαγή μεταξύ εφαρμογών επιφάνειας εργασίας και προγραμμάτων περιήγησης ιστού), η συγκεκριμένη ακολουθία που χρησιμοποιείται από το Sneaky 2FA είναι εξαιρετικά ακανόνιστη. Αυτή η ανωμαλία παρέχει ένα αξιόπιστο μέσο για την ανίχνευση του κιτ σε δράση.
Συμπέρασμα: Μια αυξανόμενη απειλή στο τοπίο του κυβερνοεγκλήματος
Το Sneaky 2FA αντιπροσωπεύει μια εξέλιξη στα εργαλεία phishing, συνδυάζοντας προηγμένες τακτικές αποφυγής, εξαπάτηση χρηστών και ένα μοντέλο PhaaS για την εξυπηρέτηση των εγκληματιών του κυβερνοχώρου. Η υιοθέτησή του υπογραμμίζει τη συνεχώς μεταβαλλόμενη φύση των διαδικτυακών απειλών και τη σοβαρότητα της παραμονής σε επαγρύπνηση έναντι των εξελιγμένων εκστρατειών ηλεκτρονικού ψαρέματος.
