Sneaky 2FA adathalász készlet
A kiberbiztonsági kutatók felfedeztek egy kifinomult Adversary-in-the-Middle (AitM) adathalász készletet, a Sneaky 2FA-t, amely legalább 2024 októbere óta aktívan megcélozza a Microsoft 365-fiókokat. Ezt a készletet úgy tervezték, hogy elfogja a hitelesítő adatokat és a kéttényezős hitelesítést. 2FA) kódokat, amelyek hatékony eszközt kínálnak a fenyegetés szereplőinek a fiókhoz kompromisszum.
Tartalomjegyzék
A Sneaky 2FA széles körben elterjedt alkalmazása és szolgáltatásai
Közel 100 olyan domaint azonosítottak, amelyek alattomos 2FA adathalász oldalakat tárolnak, ami a kiberbűnözők körében mérsékelt elfogadásra utal. Ezt a készletet a Sneaky Log nevű csoport adathalászatként szolgáltatásként (PhaaS) értékesítette, és egy funkciókban gazdag Telegram boton keresztül terjesztik. Az ügyfelek megkapják a forráskód obfuszkált verzióját, amely lehetővé teszi számukra a független telepítést.
Áldozatokat célzó adathalász kampányok
Megfigyelték, hogy a Sneaky 2FA-t kihasználó kampányok hamis fizetési nyugtát tartalmazó e-maileket küldtek PDF-mellékletekkel. Ezek a PDF-fájlok QR-kódokat tartalmaznak, amelyek beolvasáskor átirányítják az áldozatokat a Microsoft 365 bejelentkezési portálokat utánzó adathalász oldalakra. Ezeket az oldalakat feltört infrastruktúrán tárolják, gyakran WordPress-webhelyeket is magában foglalva, és automatikusan feltöltik az áldozatok e-mail-címét a legitimitás növelése érdekében.
Robusztus kijátszási és elemzésellenes taktika
A Sneaky 2FA fejlett anti-bot és anti-analízis technikákat alkalmaz. Szűri a forgalmat, és Cloudflare Turnstile kihívásokkal korlátozza a hozzáférést a hitelesítő adatok begyűjtő oldalaihoz. A készlet ellenőrzéseket is futtat, hogy észlelje és ellenálljon a webböngésző fejlesztői eszközeivel történő ellenőrzésnek. Az adatközpontokból, proxy-kból vagy VPN-ekről érkező látogatókat a href.li szolgáltatáson keresztül a Microsofttal kapcsolatos Wikipédia-oldalra irányítják át, így a készlet a TRAC Labs WikiKit becenevet kapja.
Megtévesztő látványelemek a felhasználók félrevezetésére
A hitelesség javítása érdekében a Sneaky 2FA a törvényes Microsoft interfészek elmosódott képeit tartalmazza hamis bejelentkezési oldalain. Ennek a taktikának az a célja, hogy megtévessze a felhasználókat, hogy beírják hitelesítési adataikat azzal a benyomással, hogy valódi Microsoft-tartalomhoz férnek hozzá.
Licenc és linkek a W3LL Store-hoz
A Sneaky 2FA készlet működéséhez aktív előfizetés szükséges, a licenckulcs ellenőrzése pedig központi szerveren keresztül történik. A szolgáltatást havi 200 dollárért hirdetik, amely exkluzív hozzáférést biztosít a szolgáltatásaihoz. A vizsgálatok a W3LL Store-hoz, a korábban a W3LL Panelhez kapcsolódó adathalász szindikátushoz és az üzleti e-mailek kompromittálására (BEC) támadásokhoz használt eszközökhöz való kapcsolatokat is feltártak. Míg a Sneaky 2FA megoszt néhány kódot és technikát a W3LL Panellel, a kutatók úgy vélik, hogy nem közvetlen utódja.
A kód újrafelhasználásának és áttelepítésének története
Érdekes módon a Sneaky 2FA kódbázisának egyes részeit a W3LL OV6-tól kölcsönözték, az utóbbi deobfuszkált változatai az utóbbi években keringtek a kiberbűnözők körében. Néhány Sneaky 2FA tartomány korábban olyan AitM készletekkel volt társítva, mint az Evilginx2 és a Greatness, ami arra utal, hogy egyes támadók az új szolgáltatás elfogadása felé fordulnak.
Szokatlan felhasználói ügynök viselkedés: Vörös zászló
A Sneaky 2FA egyik legjellegzetesebb tulajdonsága, hogy a hitelesítési folyamat során különböző keménykódolt User-Agent karakterláncokat használ. Míg az ilyen átmenetek törvényes forgatókönyvek esetén előfordulhatnak (pl. váltás az asztali alkalmazások és a webböngészők között), a Sneaky 2FA által használt konkrét sorrend nagyon szabálytalan. Ez az anomália megbízható eszközt biztosít a készlet működés közbeni észlelésére.
Következtetés: Növekvő fenyegetés a kiberbűnözés táján
A Sneaky 2FA az adathalász eszközök fejlődését képviseli, a fejlett kijátszási taktikákat, a felhasználók megtévesztését és a PhaaS-modellt kombinálva a kiberbűnözők számára. Elfogadása rávilágít az online fenyegetések állandóan változó természetére, valamint arra, hogy mennyire komoly az éberség a kifinomult adathalász kampányokkal szemben.
