Sneaky 2FA Phishing Kit
Kyberturvallisuustutkijat ovat löytäneet kehittyneen Adversary-in-the-Middle (AitM) -phishing-paketin, nimeltä Sneaky 2FA, joka on ollut aktiivisesti kohdistettu Microsoft 365 -tileihin ainakin lokakuusta 2024 lähtien. Tämä paketti on suunniteltu sieppaamaan valtuustiedot ja kaksitekijäinen todennus (kaksitekijäinen todennus). 2FA) -koodit, jotka tarjoavat uhkatoimijoille tehokkaan tilityökalun kompromissi.
Sisällysluettelo
Sneaky 2FA:n laaja käyttöönotto ja ominaisuudet
Lähes 100 verkkotunnusta, jotka isännöivät Sneaky 2FA -phishing-sivuja, on tunnistettu, mikä on merkki kohtuullisesta omaksumisesta kyberrikollisten keskuudessa. Sneaky Log -niminen ryhmä myy Phishing-as-a-Service (PhaaS) -paketin, ja sitä jaetaan monipuolisen Telegram-botin kautta. Asiakkaat saavat lähdekoodin hämärän version, jonka avulla he voivat ottaa sen käyttöön itsenäisesti.
Uhreihin kohdistetut tietojenkalastelukampanjat
Sneaky 2FA:ta hyödyntävien kampanjoiden on havaittu lähettävän väärennettyjä maksukuittisähköpostiviestejä, jotka sisältävät PDF-liitteitä. Nämä PDF-tiedostot sisältävät QR-koodeja, jotka skannattaessa ohjaavat uhrit tietojenkalastelusivuille, jotka on suunniteltu jäljittelemään Microsoft 365 -kirjautumisportaaleja. Näitä sivuja isännöidään vaarantuneessa infrastruktuurissa, johon usein liittyy WordPress-sivustoja, ja ne täyttävät automaattisesti uhrien sähköpostiosoitteet legitimiteetin lisäämiseksi.
Vankka evaasio- ja anti-analyysitaktiikka
Sneaky 2FA käyttää kehittyneitä anti-bot- ja anti-analyysitekniikoita. Se suodattaa liikennettä ja käyttää Cloudflare Turnstile -haasteita rajoittaakseen pääsyä sen tunnistetietojen keräämissivuille. Paketti suorittaa myös tarkistuksia tunnistaakseen ja vastustaakseen tarkastelua verkkoselaimen kehittäjätyökalujen avulla. Vierailijat palvelinkeskuksista, välityspalvelimista tai VPN-verkoista ohjataan Microsoftiin liittyvälle Wikipedia-sivulle href.li-palvelun kautta, mikä ansaitsee sarjalle lempinimen WikiKit TRAC Labsilta.
Petolliset visuaalit käyttäjien harhaanjohtamiseksi
Aitouden parantamiseksi Sneaky 2FA sisältää väärennetyille kirjautumissivuilleen taustakuvia laillisista Microsoft-liittymistä. Tällä taktiikalla pyritään huijaamaan käyttäjiä antamaan valtuustietonsa sillä vaikutelmalla, että he käyttävät aitoa Microsoft-sisältöä.
Lisenssi ja linkit W3LL Storeen
Sneaky 2FA -sarja vaatii aktiivisen tilauksen toimiakseen, ja lisenssiavaimen vahvistus suoritetaan keskuspalvelimen kautta. Palvelua mainostetaan 200 dollarilla kuukaudessa, mikä tarjoaa ainutlaatuisen pääsyn sen ominaisuuksiin. Tutkimukset ovat myös paljastaneet yhteyksiä W3LL Storeen, W3LL-paneeliin aiemmin linkitettyyn phishing-syndikaattiin ja työkaluihin, joita käytetään yrityssähköpostin kompromissihyökkäyksissä (BEC). Vaikka Sneaky 2FA jakaa joitakin koodia ja tekniikoita W3LL-paneelin kanssa, tutkijat uskovat, että se ei ole suora seuraaja.
Koodin uudelleenkäytön ja siirron historia
Mielenkiintoista on, että osa Sneaky 2FA:n koodikannasta näyttää olevan lainattu W3LL OV6:sta, ja jälkimmäisen deobfuskoituja versioita on kiertänyt kyberrikollisten keskuudessa viime vuosina. Jotkut Sneaky 2FA -verkkotunnukset liitettiin aiemmin AitM-sarjoihin, kuten Evilginx2 ja Greatness, mikä viittaa joidenkin hyökkääjien siirtymiseen kohti uutta palvelua.
Epätavallinen käyttäjä-agentin käyttäytyminen: punainen lippu
Yksi Sneaky 2FA:n erottuvimmista ominaisuuksista on erilaisten kovakoodattujen User-Agent-merkkijonojen käyttö todennusprosessin aikana. Vaikka tällaisia siirtymiä voi tapahtua oikeutetuissa skenaarioissa (esim. vaihtamalla työpöytäsovellusten ja verkkoselaimien välillä), Sneaky 2FA:n käyttämä tietty järjestys on erittäin epäsäännöllinen. Tämä poikkeama tarjoaa luotettavan tavan havaita sarja toiminnassa.
Johtopäätös: kasvava uhka tietoverkkorikollisuuden maisemassa
Sneaky 2FA edustaa tietojenkalastelutyökalujen kehitystä, jossa yhdistyvät edistyneet kiertotaktiikat, käyttäjien huijaus ja PhaaS-malli, joka palvelee kyberrikollisia. Sen käyttöönotto korostaa verkkouhkien jatkuvasti muuttuvaa luonnetta ja sitä, kuinka vakavia on pysyä valppaana kehittyneitä tietojenkalastelukampanjoita vastaan.
