Kit Pancingan data 2FA licik
Penyelidik keselamatan siber telah menemui kit pancingan data Adversary-in-the-Middle (AitM) yang canggih, digelar Sneaky 2FA, yang telah menyasarkan akaun Microsoft 365 secara aktif sejak sekurang-kurangnya Oktober 2024. Kit ini direka bentuk untuk memintas bukti kelayakan dan Pengesahan Dua Faktor ( 2FA), menawarkan pelakon ancaman alat yang berkuasa untuk pencerobohan akaun.
Isi kandungan
Penggunaan meluas dan Ciri-ciri Sneaky 2FA
Hampir 100 domain yang mengehos halaman pancingan data Sneaky 2FA telah dikenal pasti, menandakan penggunaan sederhana dalam kalangan penjenayah siber. Dijual sebagai Phishing-as-a-Service (PhaaS) oleh kumpulan yang dipanggil Sneaky Log, kit ini diedarkan melalui bot Telegram yang kaya dengan ciri. Pelanggan menerima versi kod sumber yang dikelirukan, membolehkan mereka menggunakan kod tersebut secara bebas.
Kempen Phishing Menyasarkan Mangsa
Kempen yang memanfaatkan Sneaky 2FA telah diperhatikan menghantar e-mel resit pembayaran palsu yang mengandungi lampiran PDF. PDF ini termasuk kod QR yang, apabila diimbas, mengubah hala mangsa ke halaman pancingan data yang direka bentuk untuk meniru portal log masuk Microsoft 365. Halaman ini dihoskan pada infrastruktur yang terjejas, selalunya melibatkan laman web WordPress, dan mengisi alamat e-mel mangsa secara automatik untuk meningkatkan kesahihan.
Taktik Pengelakan dan Anti-Analisis yang Teguh
Sneaky 2FA menggunakan teknik anti-bot dan anti-analisis termaju. Ia menapis trafik dan menggunakan cabaran Cloudflare Turnstile untuk menyekat akses kepada halaman penuaian kelayakannya. Kit ini juga menjalankan pemeriksaan untuk mengesan dan menahan penelitian melalui alat pembangun penyemak imbas web. Pelawat dari pusat data, proksi atau VPN dialihkan ke halaman Wikipedia yang berkaitan dengan Microsoft melalui perkhidmatan href.li, yang menjadikan kit nama panggilan WikiKit daripada TRAC Labs.
Visual Mengelirukan untuk Mengelirukan Pengguna
Untuk meningkatkan keasliannya, Sneaky 2FA menggabungkan imej kabur antara muka Microsoft yang sah sebagai latar belakang pada halaman log masuk palsunya. Taktik ini bertujuan untuk menipu pengguna supaya memasukkan bukti kelayakan mereka di bawah tanggapan mereka mengakses kandungan Microsoft tulen.
Pelesenan dan Pautan ke Kedai W3LL
Kit Sneaky 2FA memerlukan langganan aktif untuk berfungsi, dengan pengesahan kunci lesen dijalankan melalui pelayan pusat. Perkhidmatan ini diiklankan pada $200 sebulan, menawarkan akses eksklusif kepada ciri-cirinya. Siasatan juga telah mendedahkan sambungan ke W3LL Store, sindiket pancingan data yang sebelum ini dikaitkan dengan Panel W3LL dan alat yang digunakan dalam serangan kompromi e-mel perniagaan (BEC). Walaupun Sneaky 2FA berkongsi beberapa kod dan teknik dengan Panel W3LL, penyelidik percaya ia bukan pengganti langsung.
Sejarah Penggunaan Semula dan Migrasi Kod
Menariknya, sebahagian daripada pangkalan kod Sneaky 2FA nampaknya dipinjam daripada W3LL OV6, dengan versi yang dinyahkelirukan bagi yang terakhir beredar di kalangan penjenayah siber sejak beberapa tahun kebelakangan ini. Beberapa domain Sneaky 2FA sebelum ini dikaitkan dengan kit AitM seperti Evilginx2 dan Greatness, mencadangkan peralihan di kalangan beberapa penyerang ke arah menggunakan perkhidmatan baharu.
Kelakuan Ejen Pengguna Luar Biasa: Bendera Merah
Salah satu ciri Sneaky 2FA yang paling tersendiri ialah penggunaan rentetan Ejen Pengguna berkod keras yang berbeza semasa proses pengesahan. Walaupun peralihan sedemikian mungkin berlaku dalam senario yang sah (cth, bertukar antara apl desktop dan penyemak imbas web), urutan khusus yang digunakan oleh Sneaky 2FA adalah sangat tidak teratur. Anomali ini menyediakan cara yang boleh dipercayai untuk mengesan kit dalam tindakan.
Kesimpulan: Ancaman yang Meningkat dalam Landskap Jenayah Siber
Sneaky 2FA mewakili evolusi dalam alat pancingan data, menggabungkan taktik pengelakan lanjutan, penipuan pengguna dan model PhaaS untuk memenuhi penjenayah siber. Penggunaannya menyerlahkan sifat ancaman dalam talian yang sentiasa berubah dan keseriusan untuk terus berwaspada terhadap kempen pancingan data yang canggih.
