Sneaky 2FA Phishing Kit
I ricercatori di sicurezza informatica hanno scoperto un sofisticato kit di phishing Adversary-in-the-Middle (AitM), denominato Sneaky 2FA, che ha preso di mira attivamente gli account Microsoft 365 almeno da ottobre 2024. Questo kit è progettato per intercettare credenziali e codici di autenticazione a due fattori (2FA), offrendo agli autori delle minacce un potente strumento per la compromissione degli account.
Sommario
Adozione diffusa e caratteristiche di Sneaky 2FA
Sono stati identificati quasi 100 domini che ospitano pagine di phishing Sneaky 2FA, il che segnala un'adozione moderata tra i criminali informatici. Venduto come Phishing-as-a-Service (PhaaS) da un gruppo chiamato Sneaky Log, questo kit è distribuito tramite un bot Telegram ricco di funzionalità. I clienti ricevono una versione offuscata del codice sorgente, consentendo loro di distribuirlo in modo indipendente.
Campagne di phishing che prendono di mira le vittime
Sono state osservate campagne che sfruttano Sneaky 2FA mentre inviavano false e-mail di ricevute di pagamento contenenti allegati PDF. Questi PDF includono codici QR che, una volta scansionati, reindirizzano le vittime a pagine di phishing progettate per imitare i portali di accesso di Microsoft 365. Queste pagine sono ospitate su infrastrutture compromesse, che spesso coinvolgono siti Web WordPress, e popolano automaticamente gli indirizzi e-mail delle vittime per aumentarne la legittimità.
Robuste tattiche di evasione e anti-analisi
Sneaky 2FA impiega tecniche avanzate anti-bot e anti-analisi. Filtra il traffico e usa le sfide Cloudflare Turnstile per limitare l'accesso alle sue pagine di raccolta delle credenziali. Il kit esegue anche controlli per rilevare e resistere all'esame tramite strumenti per sviluppatori di browser web. I visitatori provenienti da data center, proxy o VPN vengono reindirizzati a una pagina Wikipedia correlata a Microsoft tramite il servizio href.li, guadagnando al kit il soprannome WikiKit da TRAC Labs.
Immagini ingannevoli per ingannare gli utenti
Per aumentare la sua autenticità, Sneaky 2FA incorpora immagini sfocate di interfacce Microsoft legittime come sfondi sulle sue pagine di accesso false. Questa tattica mira a ingannare gli utenti inducendoli a immettere le proprie credenziali con l'impressione di accedere a contenuti Microsoft autentici.
Licenze e link allo Store W3LL
Il kit Sneaky 2FA richiede un abbonamento attivo per funzionare, con una verifica della chiave di licenza condotta tramite un server centrale. Il servizio è pubblicizzato a $ 200 al mese, offrendo un accesso esclusivo alle sue funzionalità. Le indagini hanno anche rivelato connessioni con W3LL Store, un sindacato di phishing precedentemente collegato a W3LL Panel e strumenti utilizzati negli attacchi di compromissione della posta elettronica aziendale (BEC). Mentre Sneaky 2FA condivide parte del codice e delle tecniche con W3LL Panel, i ricercatori ritengono che non sia un successore diretto.
Una storia del riutilizzo e della migrazione del codice
È interessante notare che parti del codice di base di Sneaky 2FA sembrano essere prese in prestito da W3LL OV6, con versioni deoffuscate di quest'ultimo che circolano tra i criminali informatici negli ultimi anni. Alcuni domini di Sneaky 2FA erano precedentemente associati a kit AitM come Evilginx2 e Greatness, il che suggerisce un cambiamento tra alcuni aggressori verso l'adozione del nuovo servizio.
Comportamento insolito dell’agente utente: un segnale d’allarme
Uno dei tratti più distintivi di Sneaky 2FA è l'uso di diverse stringhe User-Agent hardcoded durante il processo di autenticazione. Mentre tali transizioni possono verificarsi in scenari legittimi (ad esempio, passando da app desktop a browser Web), la sequenza specifica utilizzata da Sneaky 2FA è altamente irregolare. Questa anomalia fornisce un mezzo affidabile per rilevare il kit in azione.
Conclusione: una minaccia crescente nel panorama della criminalità informatica
Sneaky 2FA rappresenta un'evoluzione negli strumenti di phishing, che combina tattiche di evasione avanzate, inganno dell'utente e un modello PhaaS per soddisfare i criminali informatici. La sua adozione evidenzia la natura in continua evoluzione delle minacce online e la serietà di rimanere vigili contro le sofisticate campagne di phishing.
