Sneaky 2FA Phishing-sett
Nettsikkerhetsforskere har avdekket et sofistikert Adversary-in-the-Middle (AitM) phishing-sett, kalt Sneaky 2FA, som har vært aktivt rettet mot Microsoft 365-kontoer siden minst oktober 2024. Dette settet er konstruert for å avskjære legitimasjon og tofaktorautentisering ( 2FA) koder, og tilbyr trusselaktører et kraftig verktøy for kontoen kompromiss.
Innholdsfortegnelse
Utbredt bruk og funksjoner i Sneaky 2FA
Nesten 100 domener som er vert for Sneaky 2FA-phishing-sider er identifisert, noe som signaliserer moderat adopsjon blant nettkriminelle. Dette settet selges som phishing-as-a-Service (PhaaS) av en gruppe kalt Sneaky Log, og distribueres gjennom en funksjonsrik Telegram-bot. Kunder mottar en uklar versjon av kildekoden, slik at de kan distribuere den uavhengig.
Phishing-kampanjer rettet mot ofre
Kampanjer som utnytter Sneaky 2FA har blitt observert som sender falske betalingskvitterings-e-poster som inneholder PDF-vedlegg. Disse PDF-ene inkluderer QR-koder som, når de skannes, omdirigerer ofre til phishing-sider designet for å etterligne Microsoft 365-påloggingsportaler. Disse sidene er vert for kompromittert infrastruktur, som ofte involverer WordPress-nettsteder, og fyller automatisk ut ofrenes e-postadresser for å øke legitimiteten.
Robuste unndragelses- og antianalysetaktikker
Sneaky 2FA bruker avanserte anti-bot og anti-analyse teknikker. Den filtrerer trafikk og bruker Cloudflare Turnstile-utfordringer for å begrense tilgangen til innsamlingssidene for legitimasjon. Settet kjører også kontroller for å oppdage og motstå gransking gjennom nettleserutviklerverktøy. Besøkende fra datasentre, proxyer eller VPN-er blir omdirigert til en Microsoft-relatert Wikipedia-side via href.li-tjenesten, og gir settet kallenavnet WikiKit fra TRAC Labs.
Villedende bilder for å villede brukere
For å forbedre ektheten, inneholder Sneaky 2FA uskarpe bilder av legitime Microsoft-grensesnitt som bakgrunner på sine falske påloggingssider. Denne taktikken tar sikte på å lure brukere til å skrive inn påloggingsinformasjonen deres under inntrykk av at de har tilgang til ekte Microsoft-innhold.
Lisensering og lenker til W3LL Store
Sneaky 2FA-settet krever et aktivt abonnement for å fungere, med en lisensnøkkelverifisering utført via en sentral server. Tjenesten annonseres til $200 per måned, og tilbyr eksklusiv tilgang til funksjonene. Undersøkelser har også avslørt forbindelser til W3LL Store, et phishing-syndikat som tidligere var koblet til W3LL-panelet og verktøy som ble brukt i virksomhetens e-postkompromissangrep (BEC). Mens Sneaky 2FA deler noen kode og teknikker med W3LL Panel, mener forskere at det ikke er en direkte etterfølger.
En historie om gjenbruk og migrering av kode
Interessant nok ser det ut til at deler av Sneaky 2FAs kodebase er lånt fra W3LL OV6, med deobfuskerte versjoner av sistnevnte som har sirkulert blant nettkriminelle de siste årene. Noen Sneaky 2FA-domener var tidligere assosiert med AitM-sett som Evilginx2 og Greatness, noe som tyder på et skifte blant noen angripere mot å ta i bruk den nye tjenesten.
Uvanlig brukeragentatferd: Et rødt flagg
En av Sneaky 2FAs mest karakteristiske trekk er bruken av forskjellige hardkodede User-Agent-strenger under autentiseringsprosessen. Selv om slike overganger kan forekomme i legitime scenarier (f.eks. bytte mellom skrivebordsapper og nettlesere), er den spesifikke sekvensen som brukes av Sneaky 2FA svært uregelmessig. Denne anomalien gir et pålitelig middel for å oppdage settet i aksjon.
Konklusjon: En voksende trussel i cyberkriminalitetslandskapet
Sneaky 2FA representerer en utvikling innen phishing-verktøy, som kombinerer avanserte unndragelsestaktikker, brukerbedrag og en PhaaS-modell for å imøtekomme nettkriminelle. Adopsjonen fremhever den stadig skiftende naturen til trusler på nettet og alvoret i å være årvåken mot sofistikerte phishing-kampanjer.
