Sneaky 2FA Phishing Kit
Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovanú phishingovú súpravu Adversary-in-the-Middle (AitM) s názvom Sneaky 2FA, ktorá sa aktívne zameriava na účty Microsoft 365 minimálne od októbra 2024. Táto súprava je navrhnutá tak, aby zachytávala poverenia a dvojfaktorové overenie ( 2FA), ktoré ponúkajú aktérom hrozieb výkonný nástroj na kompromitáciu účtu.
Obsah
Široké prijatie a funkcie Sneaky 2FA
Identifikovalo sa takmer 100 domén, na ktorých sa nachádzajú phishingové stránky Sneaky 2FA, čo signalizuje miernu adopciu medzi kyberzločincami. Táto súprava predávaná ako phishing-as-a-Service (PhaaS) skupinou s názvom Sneaky Log a je distribuovaná prostredníctvom telegramového robota s bohatými funkciami. Zákazníci dostávajú zahmlenú verziu zdrojového kódu, ktorá im umožňuje nasadiť ho nezávisle.
Phishingové kampane zacielené na obete
Bolo pozorované, že kampane využívajúce Sneaky 2FA odosielajú falošné e-maily s potvrdením o platbe obsahujúce prílohy PDF. Tieto súbory PDF obsahujú kódy QR, ktoré po naskenovaní presmerujú obete na phishingové stránky navrhnuté tak, aby napodobňovali prihlasovacie portály Microsoft 365. Tieto stránky sú hosťované na kompromitovanej infraštruktúre, ktorá často zahŕňa webové stránky WordPress, a automaticky vypĺňajú e-mailové adresy obetí, aby sa zvýšila legitimita.
Robustná úniková a antianalytická taktika
Sneaky 2FA využíva pokročilé anti-bot a antianalytické techniky. Filtruje návštevnosť a využíva výzvy Cloudflare Turnstile na obmedzenie prístupu k svojim stránkam na zber poverení. Súprava tiež vykonáva kontroly na zistenie a odolanie kontrole prostredníctvom vývojárskych nástrojov webového prehliadača. Návštevníci z dátových centier, serverov proxy alebo sietí VPN sú prostredníctvom služby href.li presmerovaní na stránku Wikipédie súvisiacej s Microsoftom, vďaka čomu súprava získala prezývku WikiKit od TRAC Labs.
Klamlivé vizuálne prvky na zavádzanie používateľov
Na zvýšenie autenticity Sneaky 2FA obsahuje rozmazané obrázky legitímnych rozhraní Microsoft ako pozadie na svojich falošných prihlasovacích stránkach. Cieľom tejto taktiky je oklamať používateľov, aby zadali svoje prihlasovacie údaje pod dojmom, že majú prístup k originálnemu obsahu spoločnosti Microsoft.
Licencovanie a odkazy na obchod W3LL
Súprava Sneaky 2FA vyžaduje na fungovanie aktívne predplatné s overením licenčného kľúča cez centrálny server. Služba je inzerovaná za 200 dolárov mesačne a ponúka exkluzívny prístup k jej funkciám. Vyšetrovanie tiež odhalilo spojenie s obchodom W3LL Store, phishingovým syndikátom, ktorý bol predtým prepojený s panelom W3LL Panel a nástrojmi používanými pri útokoch na kompromitáciu obchodných e-mailov (BEC). Zatiaľ čo Sneaky 2FA zdieľa niektoré kódy a techniky s panelom W3LL, výskumníci sa domnievajú, že nejde o priameho nástupcu.
História opätovného použitia kódu a migrácie
Je zaujímavé, že časti kódovej základne Sneaky 2FA sa zdajú byť vypožičané z W3LL OV6, pričom medzi kyberzločincami v posledných rokoch kolujú deobfuskované verzie OV6. Niektoré domény Sneaky 2FA boli predtým spojené so súpravami AitM, ako sú Evilginx2 a Greatness, čo naznačuje posun medzi niektorými útočníkmi smerom k prijatiu novej služby.
Nezvyčajné správanie používateľského agenta: červená vlajka
Jednou z najvýraznejších vlastností Sneaky 2FA je použitie rôznych pevne zakódovaných reťazcov User-Agent počas procesu autentifikácie. Zatiaľ čo takéto prechody sa môžu vyskytnúť v legitímnych scenároch (napr. pri prepínaní medzi aplikáciami pre stolné počítače a webovými prehliadačmi), špecifická sekvencia používaná Sneaky 2FA je veľmi nepravidelná. Táto anomália poskytuje spoľahlivý prostriedok na detekciu súpravy v akcii.
Záver: Rastúca hrozba v krajine počítačovej kriminality
Sneaky 2FA predstavuje evolúciu v nástrojoch na phishing, ktorá kombinuje pokročilé únikové taktiky, klamanie používateľov a model PhaaS, ktorý slúži kyberzločincom. Jeho prijatie poukazuje na neustále sa meniaci charakter online hrozieb a na vážnosť ostražitosti voči sofistikovaným phishingovým kampaniam.
