Подлый набор для фишинга 2FA
Исследователи в области кибербезопасности обнаружили сложный фишинговый набор Adversary-in-the-Middle (AitM), получивший название Sneaky 2FA, который активно атакует учетные записи Microsoft 365 по крайней мере с октября 2024 года. Этот набор разработан для перехвата учетных данных и кодов двухфакторной аутентификации (2FA), предоставляя злоумышленникам мощный инструмент для взлома учетных записей.
Оглавление
Широкое распространение и особенности Sneaky 2FA
Было выявлено около 100 доменов, на которых размещены фишинговые страницы Sneaky 2FA, что свидетельствует об умеренном принятии среди киберпреступников. Продаваемый как Phishing-as-a-Service (PhaaS) группой под названием Sneaky Log, этот комплект распространяется через многофункциональный бот Telegram. Клиенты получают запутанную версию исходного кода, что позволяет им развертывать его независимо.
Фишинговые кампании, нацеленные на жертв
Кампании, использующие Sneaky 2FA, были замечены в отправке поддельных писем с платежными квитанциями, содержащими вложения PDF. Эти PDF-файлы включают QR-коды, которые при сканировании перенаправляют жертв на фишинговые страницы, имитирующие порталы входа Microsoft 365. Эти страницы размещаются на скомпрометированной инфраструктуре, часто включающей веб-сайты WordPress, и автоматически заполняют адреса электронной почты жертв для повышения легитимности.
Надежные тактики уклонения и противодействия анализу
Sneaky 2FA использует передовые методы борьбы с ботами и анализа. Он фильтрует трафик и использует вызовы Cloudflare Turnstile для ограничения доступа к своим страницам сбора учетных данных. Комплект также выполняет проверки для обнаружения и противодействия проверке с помощью инструментов разработчика веб-браузера. Посетители из центров обработки данных, прокси-серверов или VPN перенаправляются на страницу Wikipedia, связанную с Microsoft, через службу href.li, за что комплект получил прозвище WikiKit от TRAC Labs.
Обманчивые визуальные эффекты, вводящие пользователей в заблуждение
Чтобы повысить свою подлинность, Sneaky 2FA использует размытые изображения легитимных интерфейсов Microsoft в качестве фона на своих поддельных страницах входа. Эта тактика направлена на то, чтобы обмануть пользователей, заставив их ввести свои учетные данные, думая, что они получают доступ к подлинному контенту Microsoft.
Лицензирование и ссылки на W3LL Store
Для работы набора Sneaky 2FA требуется активная подписка с проверкой лицензионного ключа через центральный сервер. Услуга рекламируется за 200 долларов в месяц, предлагая эксклюзивный доступ к ее функциям. Расследования также выявили связи с W3LL Store, фишинговым синдикатом, ранее связанным с W3LL Panel, и инструментами, используемыми для атак на компрометацию деловой электронной почты (BEC). Хотя Sneaky 2FA разделяет некоторые коды и методы с W3LL Panel, исследователи полагают, что она не является прямым преемником.
История повторного использования кода и миграции
Интересно, что части кодовой базы Sneaky 2FA, по-видимому, заимствованы из W3LL OV6, а деобфусцированные версии последнего циркулируют среди киберпреступников в последние годы. Некоторые домены Sneaky 2FA ранее были связаны с наборами AitM, такими как Evilginx2 и Greatness, что предполагает сдвиг среди некоторых злоумышленников в сторону принятия нового сервиса.
Необычное поведение User-Agent: тревожный сигнал
Одной из самых отличительных черт Sneaky 2FA является использование различных жестко закодированных строк User-Agent во время процесса аутентификации. Хотя такие переходы могут происходить в легитимных сценариях (например, переключение между настольными приложениями и веб-браузерами), конкретная последовательность, используемая Sneaky 2FA, крайне нерегулярна. Эта аномалия обеспечивает надежное средство для обнаружения набора в действии.
Заключение: Растущая угроза в сфере киберпреступности
Sneaky 2FA представляет собой эволюцию фишинговых инструментов, сочетающую в себе продвинутые тактики уклонения, обман пользователей и модель PhaaS для обслуживания киберпреступников. Его принятие подчеркивает постоянно меняющуюся природу онлайн-угроз и серьезность необходимости сохранять бдительность в отношении сложных фишинговых кампаний.
