Sneaky 2FA Phishing Kit
Os pesquisadores de segurança cibernética descobriram um sofisticado kit de phishing Adversary-in-the-Middle (AitM), chamado Sneaky 2FA, que tem visado ativamente contas do Microsoft 365 desde pelo menos outubro de 2024. Este kit foi projetado para interceptar credenciais e códigos de autenticação de dois fatores (2FA), oferecendo aos agentes de ameaças uma ferramenta poderosa para comprometer contas.
Índice
Adoção Generalizada e Recursos do Sneaky 2FA
Quase 100 domínios hospedando páginas de phishing Sneaky 2FA foram identificados, sinalizando adoção moderada entre criminosos cibernéticos. Vendido como Phishing-as-a-Service (PhaaS) por um grupo chamado Sneaky Log, este kit é distribuído por meio de um bot do Telegram rico em recursos. Os clientes recebem uma versão ofuscada do código-fonte, permitindo que o implantem de forma independente.
Campanhas de Phishing Direcionadas às Vítimas
Campanhas que utilizam o Sneaky 2FA foram observadas enviando e-mails falsos de recibos de pagamento contendo anexos em PDF. Esses PDFs incluem códigos QR que, quando escaneados, redirecionam as vítimas para páginas de phishing projetadas para imitar portais de login do Microsoft 365. Essas páginas são hospedadas em infraestrutura comprometida, geralmente envolvendo sites WordPress, e preenchem automaticamente os endereços de e-mail das vítimas para aumentar a legitimidade.
Evasão Robusta e Táticas Anti-Análise
O Sneaky 2FA emprega técnicas avançadas anti-bot e anti-análise. Ele filtra o tráfego e usa os desafios do Cloudflare Turnstile para restringir o acesso às suas páginas de coleta de credenciais. O kit também executa verificações para detectar e resistir ao escrutínio por meio de ferramentas de desenvolvedor de navegador da web. Visitantes de data centers, proxies ou VPNs são redirecionados para uma página da Wikipedia relacionada à Microsoft por meio do serviço href.li, dando ao kit o apelido WikiKit do TRAC Labs.
Visuais Enganosos para Driblar os Usuários
Para aumentar sua autenticidade, o Sneaky 2FA incorpora imagens borradas de interfaces legítimas da Microsoft como fundos em suas páginas de login falsas. Essa tática visa enganar os usuários para que insiram suas credenciais sob a impressão de que estão acessando conteúdo genuíno da Microsoft.
Licenciamento e Links para a Loja W3LL
O kit Sneaky 2FA requer uma assinatura ativa para funcionar, com uma verificação de chave de licença conduzida por meio de um servidor central. O serviço é anunciado por US$ 200 por mês, oferecendo acesso exclusivo aos seus recursos. As investigações também revelaram conexões com a W3LL Store, um sindicato de phishing anteriormente vinculado ao W3LL Panel e ferramentas usadas em ataques de comprometimento de e-mail comercial (BEC). Embora o Sneaky 2FA compartilhe algum código e técnicas com o W3LL Panel, os pesquisadores acreditam que ele não seja um sucessor direto.
Uma História de Reutilização e Migração de Código
Curiosamente, partes da base de código do Sneaky 2FA parecem ter sido emprestadas do W3LL OV6, com versões desofuscadas deste último circulando entre os cibercriminosos nos últimos anos. Alguns domínios do Sneaky 2FA foram associados anteriormente a kits AitM como Evilginx2 e Greatness, sugerindo uma mudança entre alguns invasores em direção à adoção do novo serviço.
Comportamento Incomum do Agente do Usuário: Um Sinal de Alerta
Uma das características mais distintivas do Sneaky 2FA é o uso de diferentes sequências de User-Agent codificadas durante o processo de autenticação. Embora tais transições possam ocorrer em cenários legítimos (por exemplo, alternando entre aplicativos de desktop e navegadores da web), a sequência específica usada pelo Sneaky 2FA é altamente irregular. Essa anomalia fornece um meio confiável para detectar o kit em ação.
Conclusão: Uma Ameaça Crescente no Cenário do Crime Cibernético
O Sneaky 2FA representa uma evolução nas ferramentas de phishing, combinando táticas avançadas de evasão, engano do usuário e um modelo PhaaS para atender aos cibercriminosos. Sua adoção destaca a natureza em constante mudança das ameaças online e a seriedade de permanecer vigilante contra campanhas sofisticadas de phishing.
