Sneaky 2FA Phishing Kit
Istraživači kibernetičke sigurnosti otkrili su sofisticirani komplet za krađu identiteta Adversary-in-the-Middle (AitM), nazvan Sneaky 2FA, koji aktivno cilja Microsoft 365 račune od najmanje listopada 2024. Ovaj komplet je osmišljen za presretanje vjerodajnica i dvofaktorske autentifikacije ( 2FA) kodova, nudeći akterima prijetnji moćan alat za račun kompromis.
Sadržaj
Rasprostranjeno usvajanje i značajke Sneaky 2FA
Identificirano je gotovo 100 domena koje hostiraju Sneaky 2FA phishing stranice, što ukazuje na umjereno prihvaćanje među kibernetičkim kriminalcima. Prodaje se kao Phishing-as-a-Service (PhaaS) od strane grupe pod nazivom Sneaky Log, ovaj komplet se distribuira putem Telegram bota bogatog značajkama. Kupci dobivaju maskiranu verziju izvornog koda, što im omogućuje da ga samostalno implementiraju.
Kampanje krađe identiteta usmjerene na žrtve
Uočeno je da kampanje koje koriste Sneaky 2FA šalju lažne e-poruke s potvrdama o plaćanju koje sadrže PDF privitke. Ti PDF-ovi uključuju QR kodove koji, kada se skeniraju, preusmjeravaju žrtve na stranice za krađu identiteta dizajnirane da oponašaju Microsoft 365 portale za prijavu. Te se stranice nalaze na ugroženoj infrastrukturi, koja često uključuje WordPress web stranice, i automatski popunjavaju adrese e-pošte žrtava radi povećanja legitimnosti.
Čvrste taktike izbjegavanja i anti-analize
Sneaky 2FA koristi napredne tehnike protiv robota i analize. Filtrira promet i koristi Cloudflare Turnstile izazove za ograničavanje pristupa svojim stranicama za prikupljanje vjerodajnica. Komplet također provodi provjere za otkrivanje i odupiranje nadzoru putem razvojnih alata web preglednika. Posjetitelji iz podatkovnih centara, proxyja ili VPN-ova preusmjeravaju se na stranicu Wikipedije koja se odnosi na Microsoft putem usluge href.li, čime komplet dobiva nadimak WikiKit od TRAC Labs.
Obmanjujući vizualni elementi za zabludu korisnika
Kako bi poboljšao svoju autentičnost, Sneaky 2FA uključuje zamućene slike legitimnih Microsoftovih sučelja kao pozadine na svojim lažnim stranicama za prijavu. Ova taktika ima za cilj prevariti korisnike da unesu svoje vjerodajnice pod dojmom da pristupaju originalnom Microsoftovom sadržaju.
Licenciranje i poveznice na W3LL Store
Sneaky 2FA kit zahtijeva aktivnu pretplatu kako bi funkcionirao, uz provjeru licencnog ključa koja se provodi putem središnjeg poslužitelja. Usluga se reklamira za 200 USD mjesečno, nudeći ekskluzivan pristup njezinim značajkama. Istrage su također otkrile veze s W3LL Storeom, sindikatom za krađu identiteta koji je prethodno bio povezan s W3LL panelom i alatima koji se koriste u napadima kompromitacije poslovne e-pošte (BEC). Iako Sneaky 2FA dijeli neke kodove i tehnike s W3LL panelom, istraživači vjeruju da nije izravni nasljednik.
Povijest ponovne upotrebe koda i migracije
Zanimljivo, čini se da su dijelovi kodne baze Sneaky 2FA posuđeni od W3LL OV6, s demaskiranim verzijama potonjeg koje kruže među kibernetičkim kriminalcima posljednjih godina. Neke Sneaky 2FA domene su prethodno bile povezane s AitM kompletima kao što su Evilginx2 i Greatness, što sugerira pomak među nekim napadačima prema usvajanju nove usluge.
Neobično ponašanje korisničkog agenta: crvena zastavica
Jedna od najizrazitijih značajki Sneaky 2FA je korištenje različitih tvrdo kodiranih nizova korisničkog agenta tijekom procesa autentifikacije. Iako se takvi prijelazi mogu dogoditi u legitimnim scenarijima (npr. prebacivanje između aplikacija za stolna računala i web-preglednika), određeni slijed koji koristi Sneaky 2FA vrlo je nepravilan. Ova anomalija pruža pouzdano sredstvo za otkrivanje kompleta na djelu.
Zaključak: Rastuća prijetnja u krajoliku kibernetičkog kriminala
Sneaky 2FA predstavlja evoluciju alata za krađu identiteta, kombinirajući napredne taktike izbjegavanja, prijevaru korisnika i PhaaS model za pružanje usluga kibernetičkim kriminalcima. Njegovo usvajanje naglašava stalno promjenjivu prirodu online prijetnji i ozbiljnost opreza protiv sofisticiranih phishing kampanja.
