کیت فیشینگ Sneaky 2FA

محققان امنیت سایبری یک کیت فیشینگ پیشرفته Adversary-in-the-Middle (AitM) با نام Sneaky 2FA را کشف کرده اند که حداقل از اکتبر 2024 به طور فعال حساب های مایکروسافت 365 را هدف قرار داده است. این کیت برای رهگیری اعتبار و دو عامل (Authen) طراحی شده است. کدهای 2FA) که به عوامل تهدید ابزار قدرتمندی برای حساب ارائه می دهد سازش

پذیرش گسترده و ویژگی های Sneaky 2FA

نزدیک به 100 دامنه میزبان صفحات فیشینگ Sneaky 2FA شناسایی شده اند که نشان دهنده پذیرش متوسط در بین مجرمان سایبری است. این کیت که به عنوان فیشینگ به عنوان سرویس (PhaaS) توسط گروهی به نام Sneaky Log فروخته می‌شود، از طریق یک ربات تلگرام غنی از ویژگی‌ها توزیع می‌شود. مشتریان یک نسخه مبهم از کد منبع دریافت می کنند که به آنها امکان می دهد آن را به طور مستقل گسترش دهند.

کمپین های فیشینگ قربانیان را هدف قرار می دهد

کمپین‌هایی که از Sneaky 2FA استفاده می‌کنند، مشاهده شده‌اند که ایمیل‌های رسید پرداخت جعلی حاوی پیوست‌های PDF ارسال می‌کنند. این فایل‌های PDF شامل کدهای QR هستند که هنگام اسکن، قربانیان را به صفحات فیشینگ که برای تقلید از پورتال‌های ورود مایکروسافت 365 طراحی شده‌اند هدایت می‌کنند. این صفحات بر روی زیرساخت‌های در معرض خطر میزبانی می‌شوند که اغلب شامل وب‌سایت‌های وردپرس می‌شوند و به‌طور خودکار آدرس‌های ایمیل قربانیان را برای افزایش مشروعیت پر می‌کنند.

تاکتیک‌های فرار قوی و ضد تحلیل

Sneaky 2FA از تکنیک های پیشرفته ضد ربات و ضد تجزیه و تحلیل استفاده می کند. ترافیک را فیلتر می کند و از چالش های Cloudflare Turnstile برای محدود کردن دسترسی به صفحات جمع آوری اعتبار خود استفاده می کند. این کیت همچنین بررسی هایی را برای شناسایی و مقاومت در برابر بررسی از طریق ابزارهای توسعه دهنده مرورگر وب انجام می دهد. بازدیدکنندگان از مراکز داده، پروکسی ها یا VPN ها از طریق سرویس href.li به صفحه ویکی پدیا مربوط به مایکروسافت هدایت می شوند و نام مستعار ویکی کیت را از آزمایشگاه TRAC به کیت می دهند.

تصاویر فریبنده برای گمراه کردن کاربران

Sneaky 2FA برای افزایش اعتبار خود، تصاویر محو شده از رابط های قانونی مایکروسافت را به عنوان پس زمینه در صفحات ورود جعلی خود ترکیب می کند. هدف از این تاکتیک فریب دادن کاربران برای وارد کردن اعتبار آنها به این تصور است که آنها به محتوای واقعی مایکروسافت دسترسی دارند.

مجوز و پیوند به فروشگاه W3LL

کیت Sneaky 2FA برای عملکرد به یک اشتراک فعال نیاز دارد، با تأیید کلید مجوز که از طریق یک سرور مرکزی انجام می شود. این سرویس با 200 دلار در ماه تبلیغ می شود و دسترسی انحصاری به ویژگی های آن را ارائه می دهد. تحقیقات همچنین اتصالات به فروشگاه W3LL، یک سندیکای فیشینگ که قبلاً به پنل W3LL و ابزارهای مورد استفاده در حملات مخرب ایمیل تجاری (BEC) مرتبط بود، نشان داده است. در حالی که Sneaky 2FA برخی از کدها و تکنیک ها را با پنل W3LL به اشتراک می گذارد، محققان معتقدند که جانشین مستقیم آن نیست.

تاریخچه استفاده مجدد و مهاجرت کد

جالب اینجاست که به نظر می‌رسد بخش‌هایی از پایگاه کد Sneaky 2FA از W3LL OV6 به عاریت گرفته شده است و نسخه‌های مبهم‌شده دومی در سال‌های اخیر در میان مجرمان سایبری منتشر شده است. برخی از دامنه‌های Sneaky 2FA قبلاً با کیت‌های AitM مانند Evilginx2 و Greatness مرتبط بودند که نشان‌دهنده تغییر در میان برخی مهاجمان به سمت پذیرش سرویس جدید است.

رفتار غیرمعمول کاربر-عامل: یک پرچم قرمز

یکی از متمایزترین ویژگی های Sneaky 2FA استفاده از رشته های رمزگذاری شده مختلف User-Agent در طول فرآیند احراز هویت است. در حالی که چنین انتقال‌هایی ممکن است در سناریوهای قانونی رخ دهد (مثلاً جابجایی بین برنامه‌های دسکتاپ و مرورگرهای وب)، توالی خاصی که توسط Sneaky 2FA استفاده می‌شود بسیار نامنظم است. این ناهنجاری وسیله ای قابل اعتماد برای شناسایی کیت در حال عمل فراهم می کند.

نتیجه گیری: یک تهدید رو به رشد در چشم انداز جرایم سایبری

Sneaky 2FA نشان‌دهنده تحولی در ابزارهای فیشینگ است که تاکتیک‌های فرار پیشرفته، فریب کاربران و مدل PhaaS را برای رسیدگی به مجرمان سایبری ترکیب می‌کند. پذیرش آن ماهیت در حال تغییر تهدیدات آنلاین و جدی بودن هوشیاری در برابر کمپین های پیچیده فیشینگ را برجسته می کند.