Sluwe 2FA Phishing Kit
Cybersecurityonderzoekers hebben een geavanceerde Adversary-in-the-Middle (AitM) phishingkit ontdekt, genaamd Sneaky 2FA, die sinds ten minste oktober 2024 actief Microsoft 365-accounts aanvalt. Deze kit is ontworpen om inloggegevens en codes voor tweefactorauthenticatie (2FA) te onderscheppen, en biedt kwaadwillenden een krachtig hulpmiddel voor het compromitteren van accounts.
Inhoudsopgave
Brede acceptatie en kenmerken van sluwe 2FA
Er zijn bijna 100 domeinen geïdentificeerd die Sneaky 2FA-phishingpagina's hosten, wat duidt op een gematigde acceptatie onder cybercriminelen. Deze kit wordt verkocht als Phishing-as-a-Service (PhaaS) door een groep genaamd Sneaky Log en wordt gedistribueerd via een feature-rijke Telegram-bot. Klanten ontvangen een verduisterde versie van de broncode, zodat ze deze onafhankelijk kunnen implementeren.
Phishingcampagnes gericht op slachtoffers
Campagnes die gebruikmaken van Sneaky 2FA zijn waargenomen waarbij nep-e-mails met betalingsbewijzen werden verzonden die PDF-bijlagen bevatten. Deze PDF's bevatten QR-codes die, wanneer ze worden gescand, slachtoffers doorverwijzen naar phishingpagina's die zijn ontworpen om Microsoft 365-inlogportals na te bootsen. Deze pagina's worden gehost op gecompromitteerde infrastructuur, vaak met WordPress-websites, en vullen automatisch de e-mailadressen van slachtoffers in om de legitimiteit te vergroten.
Robuuste ontwijkings- en anti-analysetactieken
Sneaky 2FA maakt gebruik van geavanceerde anti-bot- en anti-analysetechnieken. Het filtert verkeer en gebruikt Cloudflare Turnstile-uitdagingen om de toegang tot de pagina's voor het verzamelen van inloggegevens te beperken. De kit voert ook controles uit om controle via ontwikkelaarstools voor webbrowsers te detecteren en te weerstaan. Bezoekers van datacenters, proxy's of VPN's worden via de href.li-service omgeleid naar een Microsoft-gerelateerde Wikipedia-pagina, waardoor de kit de bijnaam WikiKit van TRAC Labs krijgt.
Misleidende beelden om gebruikers te misleiden
Om de authenticiteit te vergroten, gebruikt Sneaky 2FA wazige afbeeldingen van legitieme Microsoft-interfaces als achtergrond op zijn nep-inlogpagina's. Deze tactiek is erop gericht gebruikers te misleiden zodat ze hun inloggegevens invoeren in de veronderstelling dat ze toegang hebben tot echte Microsoft-inhoud.
Licenties en links naar W3LL Store
De Sneaky 2FA-kit vereist een actief abonnement om te functioneren, met een licentiesleutelverificatie die wordt uitgevoerd via een centrale server. De service wordt geadverteerd voor $ 200 per maand en biedt exclusieve toegang tot de functies ervan. Onderzoeken hebben ook verbindingen met de W3LL Store onthuld, een phishingsyndicaat dat eerder werd gelinkt aan het W3LL-paneel en tools die worden gebruikt bij BEC-aanvallen (Business Email Compromise). Hoewel Sneaky 2FA een aantal codes en technieken deelt met het W3LL-paneel, geloven onderzoekers dat het geen directe opvolger is.
Een geschiedenis van codehergebruik en migratie
Interessant genoeg lijken delen van de codebase van Sneaky 2FA te zijn geleend van W3LL OV6, waarbij de deobfuscated versies van laatstgenoemde de laatste jaren onder cybercriminelen circuleerden. Sommige Sneaky 2FA-domeinen werden eerder geassocieerd met AitM-kits zoals Evilginx2 en Greatness, wat suggereert dat sommige aanvallers de nieuwe service zijn gaan gebruiken.
Ongebruikelijk User-Agent-gedrag: een waarschuwingssignaal
Een van de meest opvallende kenmerken van Sneaky 2FA is het gebruik van verschillende hardcoded User-Agent strings tijdens het authenticatieproces. Hoewel dergelijke overgangen kunnen voorkomen in legitieme scenario's (bijvoorbeeld het wisselen tussen desktop-apps en webbrowsers), is de specifieke volgorde die Sneaky 2FA gebruikt zeer onregelmatig. Deze anomalie biedt een betrouwbare manier om de kit in actie te detecteren.
Conclusie: een groeiende bedreiging in het cybercriminaliteitslandschap
Sneaky 2FA vertegenwoordigt een evolutie in phishingtools, waarbij geavanceerde ontwijkingstechnieken, misleiding van gebruikers en een PhaaS-model worden gecombineerd om cybercriminelen tegemoet te komen. De adoptie ervan benadrukt de steeds veranderende aard van online bedreigingen en de ernst van het waakzaam blijven tegen geavanceerde phishingcampagnes.
