Sneaky 2FA Phishing Kit
Истраживачи кибернетичке безбедности открили су софистицирани комплет за крађу идентитета противник у средини (АитМ), назван Снеаки 2ФА, који активно циља на Мицрософт 365 налоге најмање од октобра 2024. Овај комплет је дизајниран да пресреће акредитиве и двофакторску аутентификацију 2ФА) кодови, нудећи актерима претњи моћан алат за налог компромис.
Преглед садржаја
Широко распрострањено усвајање и карактеристике Снеаки 2ФА
Идентификовано је скоро 100 домена на којима се налазе Снеаки 2ФА пхисхинг странице, што указује на умерено усвајање међу сајбер криминалцима. Продат као Пхисхинг-ас-а-Сервице (ПхааС) од стране групе под називом Снеаки Лог, овај комплет се дистрибуира преко Телеграм бота богатог функцијама. Купци добијају замагљену верзију изворног кода, што им омогућава да га самостално примене.
Кампање пецања које циљају жртве
Уочено је да кампање које користе Снеаки 2ФА шаљу лажне е-поруке са признаницама о плаћању које садрже ПДФ прилоге. Ови ПДФ-ови укључују КР кодове који, када се скенирају, преусмеравају жртве на странице за крађу идентитета дизајниране да опонашају Мицрософт 365 портале за пријаву. Ове странице се налазе на угроженој инфраструктури, често укључују ВордПресс веб локације и аутоматски попуњавају адресе е-поште жртава како би повећале легитимитет.
Тактике робусног избегавања и антианализе
Снеаки 2ФА користи напредне технике против робота и анализе. Филтрира саобраћај и користи изазове Цлоудфларе Турнстиле да ограничи приступ својим страницама за прикупљање акредитива. Комплет такође покреће провере да би открио и одолео контроли кроз алатке за програмере веб претраживача. Посетиоци из центара података, проксија или ВПН-ова се преусмеравају на страницу Википедије која се односи на Мицрософт преко услуге хреф.ли, чиме се комплету добија надимак ВикиКит од ТРАЦ Лабс.
Обмањујући визуелни прикази који обмањују кориснике
Да би побољшао своју аутентичност, Снеаки 2ФА укључује замућене слике легитимних Мицрософт интерфејса као позадину на својим лажним страницама за пријаву. Ова тактика има за циљ да превари кориснике да унесу своје акредитиве под утиском да приступају оригиналном Мицрософт садржају.
Лиценцирање и везе до В3ЛЛ продавнице
Снеаки 2ФА комплет захтева активну претплату да би функционисао, са верификацијом лиценцног кључа преко централног сервера. Услуга се оглашава за 200 долара месечно, нудећи ексклузиван приступ њеним функцијама. Истраге су такође откриле везе са В3ЛЛ Сторе-ом, пхисхинг синдикатом који је раније био повезан са В3ЛЛ панелом и алатима који се користе у нападима компромитовања пословне е-поште (БЕЦ). Док Снеаки 2ФА дели неки код и технике са В3ЛЛ панелом, истраживачи верују да није директан наследник.
Историја поновне употребе и миграције кода
Занимљиво је да су делови базе кодова Снеаки 2ФА позајмљени од В3ЛЛ ОВ6, са демаскираним верзијама последњег које круже међу сајбер криминалцима последњих година. Неки Снеаки 2ФА домени су раније били повезани са АитМ комплетима као што су Евилгинк2 и Греатнесс, што указује на помак међу неким нападачима ка усвајању нове услуге.
Необично понашање корисничког агента: Црвена застава
Једна од најизразитијих особина Снеаки 2ФА је употреба различитих чврсто кодираних стрингова Усер-Агент током процеса аутентификације. Иако се такви прелази могу догодити у легитимним сценаријима (нпр. пребацивање између десктоп апликација и веб прегледача), специфична секвенца коју користи Снеаки 2ФА је веома неправилна. Ова аномалија пружа поуздано средство за откривање комплета у акцији.
Закључак: растућа претња у окружењу сајбер криминала
Снеаки 2ФА представља еволуцију у пхисхинг алатима, комбинујући напредне тактике избегавања, обману корисника и ПхааС модел за пружање услуга сајбер криминалцима. Његово усвајање наглашава природу претњи на мрежи која се стално мења и озбиљност задржавања на опрезу против софистицираних пхисхинг кампања.
