Sneaky 2FA Phishing Kit
חוקרי אבטחת סייבר חשפו ערכת דיוג מתוחכמת של Adversary-in-the-Middle (AitM), המכונה Sneaky 2FA, המכוונת באופן פעיל לחשבונות Microsoft 365 לפחות מאז אוקטובר 2024. ערכה זו מתוכננת ליירט אישורים ואימות דו-שלבי (אימות דו-שלבי 2FA) קודים, המציעים לשחקני איומים כלי רב עוצמה לחשבון להתפשר.
תוכן העניינים
אימוץ נרחב ותכונות של Sneaky 2FA
זוהו כמעט 100 דומיינים המארחים דפי דיוג ערמומי 2FA, מה שמסמן אימוץ מתון בקרב פושעי סייבר. ערכה זו נמכרת כשירות דיוג (PhaaS) על ידי קבוצה בשם Sneaky Log, ומופצת באמצעות בוט טלגרם עשיר בתכונות. לקוחות מקבלים גרסה מעורפלת של קוד המקור, המאפשרת להם לפרוס אותו באופן עצמאי.
קמפיינים דיוגים המכוונים לקורבנות
קמפיינים הממנפים את Sneaky 2FA נצפו שולחים מיילים מזויפים של קבלות תשלום המכילות קבצי PDF מצורפים. קובצי PDF אלה כוללים קודי QR שבזמן סריקה מפנים קורבנות לדפי פישינג שנועדו לחקות פורטלי התחברות של Microsoft 365. דפים אלו מתארחים בתשתית שנפגעה, לעתים קרובות מעורבים באתרי וורדפרס, ומאוכלסים אוטומטית בכתובות האימייל של הקורבנות כדי להגביר את הלגיטימציה.
טקטיקות התחמקות ואנטי-ניתוח חזקות
Sneaky 2FA משתמש בטכניקות אנטי-בוט ואנטי-אנליזה מתקדמות. הוא מסנן תנועה ומשתמש באתגרי Cloudflare Turnstile כדי להגביל את הגישה לדפי איסוף האישורים שלו. הערכה גם מפעילה בדיקות כדי לזהות ולהתנגד לבדיקה באמצעות כלי מפתחי דפדפן אינטרנט. מבקרים ממרכזי נתונים, פרוקסי או VPNs מופנים לדף ויקיפדיה הקשור למיקרוסופט באמצעות שירות href.li, מה שמזכה לערכה בכינוי WikiKit מ-TRAC Labs.
ויזואליות מטעה כדי להטעות משתמשים
כדי לשפר את האותנטיות שלו, Sneaky 2FA משלבת תמונות מטושטשות של ממשקי מיקרוסופט לגיטימיים כרקע בדפי הכניסה המזויפים שלו. טקטיקה זו נועדה להונות משתמשים כדי להזין את האישורים שלהם מתוך הרושם שהם ניגשים לתוכן אמיתי של מיקרוסופט.
רישוי וקישורים לחנות W3LL
ערכת Sneaky 2FA דורשת מנוי פעיל כדי לתפקד, עם אימות מפתח רישיון שנערך דרך שרת מרכזי. השירות מפורסם במחיר של $200 לחודש, ומציע גישה בלעדית לתכונות שלו. חקירות חשפו גם קשרים ל-W3LL Store, סינדיקט דיוג שקושר בעבר לפאנל W3LL וכלים המשמשים בהתקפות דוא"ל עסקי (BEC). בעוד Sneaky 2FA חולק כמה קוד וטכניקות עם פאנל W3LL, החוקרים מאמינים שהוא לא יורש ישיר.
היסטוריה של שימוש חוזר והגירה בקוד
מעניין, נראה שחלקים מבסיס הקוד של Sneaky 2FA לקוחים מ-W3LL OV6, עם גרסאות מעורפלות של האחרון שהסתובבו בקרב פושעי סייבר בשנים האחרונות. כמה תחומים Sneaky 2FA היו קשורים בעבר לערכות AitM כמו Evilginx2 ו-Greatness, מה שמצביע על שינוי בקרב כמה תוקפים לקראת אימוץ השירות החדש.
התנהגות בלתי רגילה של סוכן משתמש: דגל אדום
אחת התכונות הייחודיות ביותר של Sneaky 2FA היא השימוש שלו במחרוזות User-Agent מקודדות שונות במהלך תהליך האימות. בעוד שמעברים כאלה עשויים להתרחש בתרחישים לגיטימיים (למשל, מעבר בין יישומי שולחן עבודה ודפדפני אינטרנט), הרצף הספציפי המשמש את Sneaky 2FA הוא מאוד לא סדיר. אנומליה זו מספקת אמצעי אמין לזיהוי הערכה בפעולה.
מסקנה: איום הולך וגובר בנוף פשעי הסייבר
Sneaky 2FA מייצג התפתחות בכלי דיוג, המשלבים טקטיקות התחמקות מתקדמות, הונאת משתמשים ומודל PhaaS כדי לתת מענה לפושעי סייבר. האימוץ שלה מדגיש את האופי המשתנה ללא הרף של איומים מקוונים ואת הרצינות של שמירה על ערנות מפני קמפיינים דיוגים מתוחכמים.
