Sneaky 2FA pikšķerēšanas komplekts
Kiberdrošības pētnieki ir atklājuši izsmalcinātu Adversary-in-the-Middle (AitM) pikšķerēšanas komplektu, kas nodēvēts par Sneaky 2FA, kas ir aktīvi mērķēts uz Microsoft 365 kontiem vismaz kopš 2024. gada oktobra. Šis komplekts ir izstrādāts, lai pārtvertu akreditācijas datus un divu faktoru autentifikāciju. 2FA) kodi, piedāvājot draudu dalībniekiem efektīvu konta rīku kompromisu.
Satura rādītājs
Plaši izplatīta Sneaky 2FA pieņemšana un funkcijas
Ir identificēti gandrīz 100 domēni, kuros tiek mitinātas Sneaky 2FA pikšķerēšanas lapas, kas liecina par mērenu adopciju kibernoziedznieku vidū. Šo komplektu pārdeva grupa Sneaky Log kā pikšķerēšana kā pakalpojums (PhaaS), un tas tiek izplatīts, izmantojot ar funkcijām bagātu Telegram robotu. Klienti saņem neskaidru avota koda versiju, ļaujot viņiem to izvietot neatkarīgi.
Pikšķerēšanas kampaņas, kuru mērķauditorija ir upuri
Ir novērotas kampaņas, kas izmanto Sneaky 2FA, sūtot viltus maksājumu kvīšu e-pasta ziņojumus ar PDF pielikumiem. Šajos PDF failos ir iekļauti QR kodi, kas pēc skenēšanas upurus novirza uz pikšķerēšanas lapām, kas paredzētas Microsoft 365 pieteikšanās portālu atdarināšanai. Šīs lapas tiek mitinātas apdraudētā infrastruktūrā, bieži vien ietverot WordPress vietnes, un tās automātiski aizpilda upuru e-pasta adreses, lai palielinātu leģitimitāti.
Izturīga izvairīšanās un pretanalīzes taktika
Sneaky 2FA izmanto uzlabotas anti-bot un anti-analīzes metodes. Tas filtrē trafiku un izmanto Cloudflare Turnstile izaicinājumus, lai ierobežotu piekļuvi savām akreditācijas datu vākšanas lapām. Komplekts arī veic pārbaudes, lai atklātu un pretotos pārbaudei, izmantojot tīmekļa pārlūkprogrammas izstrādātāju rīkus. Apmeklētāji no datu centriem, starpniekserveriem vai VPN tiek novirzīti uz ar Microsoft saistītu Wikipedia lapu, izmantojot pakalpojumu href.li, iegūstot komplektam segvārdu WikiKit no TRAC Labs.
Maldinoši vizuālie materiāli lietotāju maldināšanai
Lai uzlabotu savu autentiskumu, Sneaky 2FA viltus pieteikšanās lapās kā fonu iekļauj likumīgu Microsoft saskarņu izplūdušos attēlus. Šīs taktikas mērķis ir maldināt lietotājus ievadīt savus akreditācijas datus, radot iespaidu, ka viņi piekļūst autentiskam Microsoft saturam.
Licencēšana un saites uz W3LL veikalu
Lai Sneaky 2FA komplekts darbotos, ir nepieciešams aktīvs abonements, un licences atslēgas pārbaude tiek veikta, izmantojot centrālo serveri. Pakalpojums tiek reklamēts par USD 200 mēnesī, piedāvājot ekskluzīvu piekļuvi tā funkcijām. Izmeklēšana atklāja arī savienojumus ar W3LL Store, pikšķerēšanas sindikātu, kas iepriekš bija saistīts ar W3LL paneli, un rīkiem, kas izmantoti biznesa e-pasta kompromisa (BEC) uzbrukumos. Lai gan Sneaky 2FA koplieto dažus kodu un paņēmienus ar W3LL paneli, pētnieki uzskata, ka tas nav tiešs pēctecis.
Koda atkārtotas izmantošanas un migrācijas vēsture
Interesanti, ka dažas Sneaky 2FA kodu bāzes daļas, šķiet, ir aizgūtas no W3LL OV6, un pēdējos gados kibernoziedznieku vidū ir izplatījušās pēdējās deobfuskētās versijas. Daži Sneaky 2FA domēni iepriekš bija saistīti ar AitM komplektiem, piemēram, Evilginx2 un Greatness, kas liecina par dažu uzbrucēju pāreju uz jaunā pakalpojuma pieņemšanu.
Neparasta lietotāja un aģenta uzvedība: sarkans karogs
Viena no Sneaky 2FA raksturīgākajām iezīmēm ir dažādu cietkodētu User-Agent virkņu izmantošana autentifikācijas procesā. Lai gan šādas pārejas var notikt likumīgos scenārijos (piemēram, pārslēdzoties starp darbvirsmas lietotnēm un tīmekļa pārlūkprogrammām), Sneaky 2FA izmantotā īpašā secība ir ļoti neregulāra. Šī anomālija nodrošina uzticamu līdzekli, lai noteiktu komplektu darbībā.
Secinājums: pieaugošs drauds kibernoziedzības ainavā
Sneaky 2FA atspoguļo pikšķerēšanas rīku attīstību, apvienojot uzlabotas izvairīšanās taktikas, lietotāju maldināšanu un PhaaS modeli, lai rūpētos par kibernoziedzniekiem. Tā pieņemšana izceļ tiešsaistes draudu nepārtraukti mainīgo raksturu un to, cik nopietni ir jāsaglabā modrība pret sarežģītām pikšķerēšanas kampaņām.
