Podstępny zestaw phishingowy 2FA
Badacze zajmujący się cyberbezpieczeństwem odkryli wyrafinowany zestaw do phishingu Adversary-in-the-Middle (AitM), nazwany Sneaky 2FA, który aktywnie atakuje konta Microsoft 365 co najmniej od października 2024 r. Zestaw ten został zaprojektowany w celu przechwytywania danych uwierzytelniających i kodów uwierzytelniania dwuskładnikowego (2FA), oferując atakującym potężne narzędzie do włamywania się na konta.
Spis treści
Powszechne przyjęcie i funkcje podstępnego uwierzytelniania dwuskładnikowego
Zidentyfikowano prawie 100 domen hostujących strony phishingowe Sneaky 2FA, co wskazuje na umiarkowaną adopcję wśród cyberprzestępców. Sprzedawany jako Phishing-as-a-Service (PhaaS) przez grupę o nazwie Sneaky Log, ten zestaw jest dystrybuowany za pośrednictwem bogatego w funkcje bota Telegram. Klienci otrzymują zaciemnioną wersję kodu źródłowego, co pozwala im na niezależne wdrożenie.
Kampanie phishingowe skierowane do ofiar
Kampanie wykorzystujące Sneaky 2FA zostały zaobserwowane, wysyłając fałszywe e-maile z potwierdzeniem płatności zawierające załączniki PDF. Te pliki PDF zawierają kody QR, które po zeskanowaniu przekierowują ofiary na strony phishingowe zaprojektowane tak, aby naśladować portale logowania Microsoft 365. Strony te są hostowane w zainfekowanej infrastrukturze, często obejmującej witryny WordPress, i automatycznie wypełniają adresy e-mail ofiar w celu zwiększenia ich wiarygodności.
Solidne taktyki unikania i przeciwdziałania analizie
Podstępne 2FA wykorzystuje zaawansowane techniki anty-bot i antyanalizy. Filtruje ruch i używa wyzwań Cloudflare Turnstile, aby ograniczyć dostęp do stron zbierających dane uwierzytelniające. Zestaw uruchamia również kontrole w celu wykrywania i przeciwstawiania się kontroli za pomocą narzędzi programistycznych przeglądarek internetowych. Odwiedzający z centrów danych, serwerów proxy lub sieci VPN są przekierowywani na stronę Wikipedii związaną z Microsoftem za pośrednictwem usługi href.li, co przyniosło zestawowi przydomek WikiKit od TRAC Labs.
Oszukańcze wizualizacje mające na celu wprowadzenie użytkowników w błąd
Aby zwiększyć autentyczność, Sneaky 2FA włącza rozmyte obrazy prawdziwych interfejsów Microsoft jako tła na swoich fałszywych stronach logowania. Ta taktyka ma na celu oszukanie użytkowników, aby wprowadzili swoje dane uwierzytelniające pod wrażeniem, że uzyskują dostęp do oryginalnej zawartości Microsoft.
Licencjonowanie i linki do sklepu W3LL
Zestaw Sneaky 2FA wymaga aktywnej subskrypcji, aby działać, a weryfikacja klucza licencyjnego jest przeprowadzana za pośrednictwem centralnego serwera. Usługa jest reklamowana za 200 USD miesięcznie, oferując ekskluzywny dostęp do jej funkcji. Śledztwa ujawniły również powiązania ze sklepem W3LL, syndykatem phishingowym wcześniej powiązanym z panelem W3LL i narzędziami używanymi w atakach typu business email breach (BEC). Chociaż Sneaky 2FA dzieli część kodu i technik z panelem W3LL, badacze uważają, że nie jest bezpośrednim następcą.
Historia ponownego wykorzystania kodu i migracji
Co ciekawe, części bazy kodu Sneaky 2FA wydają się być zapożyczone z W3LL OV6, a odszyfrowane wersje tego ostatniego krążyły wśród cyberprzestępców w ostatnich latach. Niektóre domeny Sneaky 2FA były wcześniej powiązane z zestawami AitM, takimi jak Evilginx2 i Greatness, co sugeruje zmianę wśród niektórych atakujących w kierunku przyjęcia nowej usługi.
Nietypowe zachowanie użytkownika-agenta: czerwona flaga
Jedną z najbardziej charakterystycznych cech Sneaky 2FA jest używanie różnych zakodowanych na stałe ciągów User-Agent podczas procesu uwierzytelniania. Podczas gdy takie przejścia mogą występować w uzasadnionych scenariuszach (np. przełączanie się między aplikacjami na komputery stacjonarne i przeglądarkami internetowymi), konkretna sekwencja używana przez Sneaky 2FA jest wysoce nieregularna. Ta anomalia zapewnia niezawodny sposób wykrywania zestawu w działaniu.
Wnioski: Rosnące zagrożenie w obszarze cyberprzestępczości
Podstępne 2FA reprezentuje ewolucję narzędzi phishingowych, łącząc zaawansowane taktyki unikania, oszukiwanie użytkowników i model PhaaS, aby sprostać cyberprzestępcom. Jego przyjęcie podkreśla ciągle zmieniającą się naturę zagrożeń online i powagę zachowania czujności wobec wyrafinowanych kampanii phishingowych.
