Sneaky 2FA andmepüügikomplekt
Küberturbeteadlased on avastanud keeruka andmepüügikomplekti Adversary-in-the-Middle (AitM) nimega Sneaky 2FA, mis on aktiivselt sihitud Microsoft 365 kontodele alates 2024. aasta oktoobrist. See komplekt on loodud mandaatide pealtkuulamiseks ja kahefaktoriliseks autentimiseks. 2FA) koodid, pakkudes ohus osalejatele võimas tööriista konto jaoks kompromiss.
Sisukord
Sneaky 2FA laialdane kasutuselevõtt ja funktsioonid
Tuvastatud on peaaegu 100 domeeni, mis majutavad salakavalaid 2FA andmepüügilehti, mis annab märku mõõdukast omaksvõtmisest küberkurjategijate seas. Seda komplekti müüb andmepüügina teenusena (PhaaS) rühm nimega Sneaky Log. Seda komplekti levitatakse funktsioonirikka Telegrami roboti kaudu. Kliendid saavad lähtekoodi hägustatud versiooni, mis võimaldab neil seda iseseisvalt juurutada.
Ohvreid sihivad andmepüügikampaaniad
On täheldatud Sneaky 2FA-d kasutavate kampaaniate puhul, mis saadavad PDF-manuseid sisaldavaid võltsitud maksekviitungeid. Need PDF-id sisaldavad QR-koode, mis skaneerimisel suunavad ohvrid ümber andmepüügilehtedele, mis on loodud Microsoft 365 sisselogimisportaalide jäljendamiseks. Neid lehti majutatakse ohustatud infrastruktuuris, mis sageli hõlmab WordPressi veebisaite, ja need sisestavad legitiimsuse suurendamiseks automaatselt ohvrite e-posti aadressid.
Tugev kõrvalehoidmise ja analüüsivastane taktika
Sneaky 2FA kasutab täiustatud roboti- ja analüüsivastaseid tehnikaid. See filtreerib liiklust ja kasutab Cloudflare Turnstile'i väljakutseid, et piirata juurdepääsu oma mandaadi kogumise lehtedele. Komplekt kontrollib ka veebibrauseri arendaja tööriistade abil tuvastamist ja kontrollimist. Andmekeskuste, puhverserverite või VPN-ide külastajad suunatakse teenuse href.li kaudu Microsoftiga seotud Wikipedia lehele, mis teenib komplektile TRAC Labsi hüüdnime WikiKit.
Petlikud visuaalid kasutajate eksitamiseks
Autentsuse suurendamiseks sisaldab Sneaky 2FA oma võltsitud sisselogimislehtede taustana seaduslike Microsofti liideste häguseid pilte. Selle taktika eesmärk on petta kasutajaid oma mandaate sisestama, jäädes mulje, et nad pääsevad juurde ehtsale Microsofti sisule.
Litsents ja lingid W3LL Store’ile
Sneaky 2FA komplekti toimimiseks on vaja aktiivset tellimust ja litsentsivõtme kontrollimine toimub keskserveri kaudu. Teenust reklaamitakse hinnaga 200 dollarit kuus, mis pakub eksklusiivset juurdepääsu selle funktsioonidele. Uurimised on avastanud ka seoseid W3LL Store'iga, andmepüügisündikaadiga, mis oli varem seotud W3LL-i paneeliga, ja tööriistadega, mida kasutati äriliste e-posti kompromisside (BEC) rünnakutes. Kuigi Sneaky 2FA jagab mõnda koodi ja tehnikaid W3LL-i paneeliga, usuvad teadlased, et see pole otsene järglane.
Koodi taaskasutuse ja migratsiooni ajalugu
Huvitav on see, et osa Sneaky 2FA koodibaasi näib olevat laenatud W3LL OV6-st, kusjuures viimastel aastatel on küberkurjategijate seas ringlenud viimase deobfuskeeritud versioonid. Mõned Sneaky 2FA domeenid olid varem seotud AitM-i komplektidega, nagu Evilginx2 ja Greatness, mis viitab mõne ründaja nihkele uue teenuse kasutuselevõtu suunas.
Ebatavaline kasutaja-agendi käitumine: punane lipp
Üks Sneaky 2FA kõige iseloomulikumaid omadusi on erinevate kõvakodeeritud kasutaja-agendi stringide kasutamine autentimisprotsessi ajal. Kuigi sellised üleminekud võivad toimuda seaduslike stsenaariumide korral (nt töölauarakenduste ja veebibrauserite vahel vahetamine), on Sneaky 2FA kasutatav konkreetne jada väga ebaregulaarne. See anomaalia annab usaldusväärse vahendi komplekti töös tuvastamiseks.
Järeldus: kasvav oht küberkuritegevuse maastikul
Sneaky 2FA kujutab endast andmepüügitööriistade arengut, mis ühendab küberkurjategijate jaoks täiustatud kõrvalehoidmistaktika, kasutajate petmise ja PhaaS-i mudeli. Selle kasutuselevõtt tõstab esile veebiohtude pidevalt muutuva olemuse ja keeruliste andmepüügikampaaniate suhtes valvsuse olulisuse.
