Sneaky 2FA sukčiavimo rinkinys
Kibernetinio saugumo tyrinėtojai atskleidė sudėtingą priešininko vidurio (AitM) sukčiavimo rinkinį, pavadintą Sneaky 2FA, kuris buvo aktyviai taikomas Microsoft 365 paskyroms mažiausiai nuo 2024 m. spalio mėn. Šis rinkinys sukurtas taip, kad perimtų kredencialus ir dviejų faktorių autentifikavimą. 2FA) kodai, siūlantys grėsmės veikėjams galingą paskyros įrankį kompromisas.
Turinys
Plačiai paplitęs „Sneaky 2FA“ pritaikymas ir funkcijos
Buvo nustatyta beveik 100 domenų, kuriuose yra slapti 2FA sukčiavimo puslapiai, o tai rodo, kad kibernetiniai nusikaltėliai juos naudoja saikingai. Šis rinkinys, kurį parduoda grupė „Sneaky Log“ kaip „Phishing-as-a-Service“ (PhaaS), platinamas per daug funkcijų turintį „Telegram“ robotą. Klientai gauna užmaskuotą šaltinio kodo versiją, leidžiančią juos įdiegti savarankiškai.
Sukčiavimo kampanijos, skirtos aukoms
Pastebėta, kad kampanijos, naudojančios Sneaky 2FA, siunčia netikrus mokėjimo kvitų el. laiškus su PDF priedais. Šiuose PDF rinkmenose yra QR kodų, kurie nuskaitomi nukreipia aukas į sukčiavimo puslapius, sukurtus imituoti „Microsoft 365“ prisijungimo portalus. Šie puslapiai yra priglobti pažeistoje infrastruktūroje, dažnai apimančioje „WordPress“ svetaines, ir automatiškai užpildo aukų el. pašto adresus, kad padidintų jų teisėtumą.
Tvirta vengimo ir antianalizės taktika
„Sneaky 2FA“ naudoja pažangias anti-bot ir anti-analizės technologijas. Jis filtruoja srautą ir naudoja „Cloudflare Turnstile“ iššūkius, kad apribotų prieigą prie savo kredencialų rinkimo puslapių. Rinkinys taip pat atlieka patikrinimus, kad aptiktų ir atsispirtų tikrinimui naudojant žiniatinklio naršyklės kūrėjo įrankius. Duomenų centrų, tarpinių serverių ar VPN lankytojai per „href.li“ paslaugą nukreipiami į su „Microsoft“ susijusį „Wikipedia“ puslapį, todėl rinkinys gavo „WikiKit“ slapyvardį iš „TRAC Labs“.
Apgaulingi vaizdai, skirti klaidinti vartotojus
Siekdama pagerinti savo autentiškumą, „Sneaky 2FA“ savo netikruose prisijungimo puslapiuose įtraukia neryškius teisėtų „Microsoft“ sąsajų vaizdus. Šia taktika siekiama suklaidinti vartotojus, kad jie įvestų savo kredencialus, manant, kad jie pasiekia autentišką „Microsoft“ turinį.
Licencijavimas ir nuorodos į W3LL parduotuvę
Kad Sneaky 2FA rinkinys veiktų, reikalinga aktyvi prenumerata, o licencijos rakto patvirtinimas atliekamas per centrinį serverį. Paslauga reklamuojama už 200 USD per mėnesį, suteikianti išskirtinę prieigą prie jos funkcijų. Tyrimai taip pat atskleidė ryšius su W3LL Store, sukčiavimo sindikatu, anksčiau susietu su W3LL skydeliu, ir įrankiais, naudojamais verslo el. pašto kompromisų (BEC) atakoms. Nors Sneaky 2FA dalijasi tam tikru kodu ir technikomis su W3LL skydeliu, mokslininkai mano, kad tai nėra tiesioginis įpėdinis.
Kodo pakartotinio naudojimo ir perkėlimo istorija
Įdomu tai, kad kai kurios „Sneaky 2FA“ kodų bazės dalys buvo pasiskolintos iš W3LL OV6, o pastarųjų metų debfuskuotos versijos tarp kibernetinių nusikaltėlių cirkuliavo tarp kibernetinių nusikaltėlių. Kai kurie „Sneaky 2FA“ domenai anksčiau buvo susieti su „AitM“ rinkiniais, tokiais kaip „Evilginx2“ ir „Greatness“, o tai rodo, kad kai kurie užpuolikai pereina prie naujos paslaugos.
Neįprastas vartotojo ir agento elgesys: raudona vėliava
Vienas ryškiausių „Sneaky 2FA“ bruožų yra skirtingų užkoduotų „User-Agent“ eilučių naudojimas autentifikavimo procese. Nors tokie perėjimai gali įvykti esant teisėtam scenarijui (pvz., perjungiant darbalaukio programas į žiniatinklio naršykles), konkreti Sneaky 2FA naudojama seka yra labai netaisyklinga. Ši anomalija yra patikima priemonė aptikti veikiantį rinkinį.
Išvada: didėjanti grėsmė elektroninių nusikaltimų kraštovaizdyje
„Sneaky 2FA“ yra sukčiavimo įrankių evoliucija, derinanti pažangią vengimo taktiką, vartotojų apgaudinėjimą ir „PhaaS“ modelį, skirtą kibernetiniams nusikaltėliams. Jo priėmimas pabrėžia nuolat kintantį internetinių grėsmių pobūdį ir rimtą budrumą prieš sudėtingas sukčiavimo kampanijas.
