Kit de phishing 2FA furiș
Cercetătorii în domeniul securității cibernetice au descoperit un kit sofisticat de phishing Adversary-in-the-Middle (AitM), denumit Sneaky 2FA, care vizează în mod activ conturile Microsoft 365 din octombrie 2024. Acest kit este conceput pentru a intercepta acreditările și autentificarea cu doi factori ( 2FA), oferind actorilor amenințărilor un instrument puternic pentru compromiterea contului.
Cuprins
Adopție pe scară largă și caracteristici ale Sneaky 2FA
Au fost identificate aproape 100 de domenii care găzduiesc pagini de phishing Sneaky 2FA, ceea ce semnalează o adoptare moderată în rândul infractorilor cibernetici. Vândut ca Phishing-as-a-Service (PhaaS) de un grup numit Sneaky Log, acest kit este distribuit printr-un bot Telegram bogat în funcții. Clienții primesc o versiune ofuscată a codului sursă, permițându-le să o implementeze independent.
Campanii de phishing care vizează victime
S-au observat campanii care folosesc Sneaky 2FA care trimit e-mailuri false de chitanță de plată care conțin atașamente PDF. Aceste PDF-uri includ coduri QR care, atunci când sunt scanate, redirecționează victimele către pagini de phishing concepute pentru a imita portalurile de conectare Microsoft 365. Aceste pagini sunt găzduite pe o infrastructură compromisă, care implică adesea site-uri web WordPress și populează automat adresele de e-mail ale victimelor pentru a crește legitimitatea.
Tactici robuste de evaziune și anti-analiza
Sneaky 2FA folosește tehnici avansate anti-bot și anti-analiza. Filtrează traficul și folosește provocările Cloudflare Turnstile pentru a restricționa accesul la paginile sale de colectare a acreditărilor. Kitul efectuează, de asemenea, verificări pentru a detecta și a rezista controlului prin instrumentele pentru dezvoltatori de browser web. Vizitatorii din centrele de date, proxy-uri sau VPN-uri sunt redirecționați către o pagină Wikipedia legată de Microsoft prin serviciul href.li, câștigând kit-ul porecla WikiKit de la TRAC Labs.
Elemente vizuale înșelătoare pentru a induce în eroare utilizatorii
Pentru a-și spori autenticitatea, Sneaky 2FA încorporează imagini neclare ale interfețelor Microsoft legitime ca fundal pe paginile sale de conectare false. Această tactică urmărește să înșele utilizatorii să-și introducă acreditările sub impresia că accesează conținut Microsoft autentic.
Licențiere și linkuri către magazinul W3LL
Kit-ul Sneaky 2FA necesită un abonament activ pentru a funcționa, cu verificarea cheii de licență efectuată printr-un server central. Serviciul este promovat la 200 USD pe lună, oferind acces exclusiv la funcțiile sale. Investigațiile au dezvăluit, de asemenea, conexiuni la Magazinul W3LL, un sindicat de phishing legat anterior la Panoul W3LL și instrumente utilizate în atacurile de compromitere a e-mailurilor de afaceri (BEC). În timp ce Sneaky 2FA împărtășește unele coduri și tehnici cu panoul W3LL, cercetătorii cred că nu este un succesor direct.
O istorie a reutilizării și migrației codului
Interesant este că părți din baza de cod a lui Sneaky 2FA par să fie împrumutate de la W3LL OV6, versiunile deobfuscate ale acestuia din urmă circulând printre infractorii cibernetici în ultimii ani. Unele domenii Sneaky 2FA au fost asociate anterior cu kituri AitM precum Evilginx2 și Greatness, ceea ce sugerează o schimbare în rândul unor atacatori către adoptarea noului serviciu.
Comportament neobișnuit de agent utilizator: un steag roșu
Una dintre cele mai distinctive trăsături ale Sneaky 2FA este utilizarea diferitelor șiruri de caractere User-Agent codificate în timpul procesului de autentificare. Deși astfel de tranziții pot apărea în scenarii legitime (de exemplu, comutarea între aplicații desktop și browsere web), secvența specifică utilizată de Sneaky 2FA este foarte neregulată. Această anomalie oferă un mijloc fiabil pentru detectarea trusei în acțiune.
Concluzie: o amenințare în creștere în peisajul criminalității cibernetice
Sneaky 2FA reprezintă o evoluție a instrumentelor de phishing, combinând tactici avansate de evaziune, înșelarea utilizatorilor și un model PhaaS pentru a răspunde infractorilor cibernetici. Adoptarea acestuia evidențiază natura în continuă schimbare a amenințărilor online și seriozitatea de a rămâne vigilenți împotriva campaniilor sofisticate de phishing.
