Sneaky 2FA Phishing Kit
Raziskovalci kibernetske varnosti so odkrili sofisticiran komplet za lažno predstavljanje Adversary-in-the-Middle (AitM), imenovan Sneaky 2FA, ki aktivno cilja na račune Microsoft 365 vsaj od oktobra 2024. Ta komplet je zasnovan za prestrezanje poverilnic in dvofaktorsko avtentikacijo ( 2FA), ki akterjem groženj ponuja zmogljivo orodje za račun kompromis.
Kazalo
Široko sprejetje in funkcije Sneaky 2FA
Identificiranih je bilo skoraj 100 domen, ki gostijo lažne strani Sneaky 2FA, kar kaže na zmerno uporabo med kiberkriminalci. Ta komplet, ki ga skupina, imenovana Sneaky Log, prodaja kot Phishing-as-a-Service (PhaaS) in se distribuira prek Telegramovega robota, bogatega s funkcijami. Stranke prejmejo zakrito različico izvorne kode, ki jim omogoča samostojno uvedbo.
Kampanje lažnega predstavljanja, ki ciljajo na žrtve
Opazili so, da kampanje, ki uporabljajo Sneaky 2FA, pošiljajo ponarejena e-poštna sporočila s potrdili o plačilu, ki vsebujejo priloge PDF. Ti PDF-ji vključujejo kode QR, ki po skeniranju žrtve preusmerijo na strani z lažnim predstavljanjem, zasnovane tako, da posnemajo prijavne portale Microsoft 365. Te strani gostujejo na ogroženi infrastrukturi, ki pogosto vključuje spletna mesta WordPress, in samodejno zapolnijo e-poštne naslove žrtev za povečanje legitimnosti.
Močna taktika izogibanja in protianalize
Sneaky 2FA uporablja napredne anti-bot in anti-analizne tehnike. Filtrira promet in uporablja izzive Cloudflare Turnstile za omejitev dostopa do svojih strani za zbiranje poverilnic. Komplet izvaja tudi preglede za odkrivanje in upiranje nadzoru prek orodij za razvijalce spletnega brskalnika. Obiskovalci iz podatkovnih centrov, proxyjev ali VPN-jev so preusmerjeni na stran Wikipedije, povezano z Microsoftom, prek storitve href.li, s čimer si komplet prisluži vzdevek WikiKit iz TRAC Labs.
Zavajajoče slike za zavajanje uporabnikov
Za povečanje svoje pristnosti Sneaky 2FA vključuje zamegljene slike zakonitih Microsoftovih vmesnikov kot ozadja na svojih lažnih prijavnih straneh. Namen te taktike je zavesti uporabnike, da vnesejo svoje poverilnice pod vtisom, da dostopajo do pristne Microsoftove vsebine.
Licenciranje in povezave do trgovine W3LL
Komplet Sneaky 2FA za delovanje zahteva aktivno naročnino s preverjanjem licenčnega ključa, ki se izvaja prek osrednjega strežnika. Storitev se oglašuje po 200 USD na mesec in ponuja ekskluziven dostop do njenih funkcij. Preiskave so odkrile tudi povezave s trgovino W3LL Store, sindikatom lažnega predstavljanja, ki je bil prej povezan z W3LL Panel in orodji, ki se uporabljajo pri napadih z ogrožanjem poslovne e-pošte (BEC). Čeprav si Sneaky 2FA deli nekaj kode in tehnik s ploščo W3LL, raziskovalci menijo, da ni neposredni naslednik.
Zgodovina ponovne uporabe in selitve kode
Zanimivo je, da se zdi, da so deli kodne baze Sneaky 2FA izposojeni od W3LL OV6, pri čemer so v zadnjih letih med kiberkriminalci krožile razmagljene različice slednjega. Nekatere domene Sneaky 2FA so bile prej povezane s kompleti AitM, kot sta Evilginx2 in Greatness, kar kaže na premik med nekaterimi napadalci k sprejetju nove storitve.
Nenavadno vedenje uporabniškega agenta: Rdeča zastavica
Ena od najbolj značilnih lastnosti Sneaky 2FA je uporaba različnih trdo kodiranih nizov User-Agent med postopkom preverjanja pristnosti. Medtem ko se takšni prehodi lahko pojavijo v zakonitih scenarijih (npr. preklapljanje med namiznimi aplikacijami in spletnimi brskalniki), je specifično zaporedje, ki ga uporablja Sneaky 2FA, zelo nepravilno. Ta anomalija je zanesljiv način za odkrivanje kompleta v akciji.
Zaključek: naraščajoča grožnja v krajini kibernetske kriminalitete
Sneaky 2FA predstavlja razvoj orodij za lažno predstavljanje, ki združuje napredne taktike izogibanja, zavajanje uporabnikov in model PhaaS, ki poskrbi za kibernetske kriminalce. Njegovo sprejetje poudarja nenehno spreminjajočo se naravo spletnih groženj in resnost ohranjanja pozornosti pred prefinjenimi lažnimi kampanjami.
