Sneaky 2FA Phishing Kit
Cybersäkerhetsforskare har avslöjat ett sofistikerat Adversary-in-the-Middle (AitM) nätfiske-kit, kallat Sneaky 2FA, som aktivt har riktat in sig på Microsoft 365-konton sedan åtminstone oktober 2024. Detta kit är konstruerat för att fånga upp autentiseringsuppgifter och tvåfaktorsautentisering ( 2FA)-koder, vilket erbjuder hotaktörer ett kraftfullt verktyg för konto kompromissa.
Innehållsförteckning
Utbredd användning och funktioner i Sneaky 2FA
Nästan 100 domäner som är värd för Sneaky 2FA phishing-sidor har identifierats, vilket signalerar måttlig adoption bland cyberkriminella. Säljs som Phishing-as-a-Service (PhaaS) av en grupp som heter Sneaky Log, detta kit distribueras genom en funktionsrik Telegram-bot. Kunder får en förvirrad version av källkoden, så att de kan distribuera den självständigt.
Nätfiskekampanjer riktade mot offer
Kampanjer som utnyttjar Sneaky 2FA har observerats skicka falska betalningskvitto e-postmeddelanden som innehåller PDF-bilagor. Dessa PDF-filer innehåller QR-koder som, när de skannas, omdirigerar offer till nätfiskesidor utformade för att efterlikna Microsoft 365-inloggningsportaler. Dessa sidor är värd för komprometterad infrastruktur, ofta involverande WordPress-webbplatser, och fyller automatiskt i offrens e-postadresser för att öka legitimiteten.
Robust undanflykts- och antianalystaktik
Sneaky 2FA använder avancerade antibot- och antianalystekniker. Den filtrerar trafik och använder Cloudflare Turnstile-utmaningar för att begränsa åtkomsten till sina referenssidor. Satsen kör också kontroller för att upptäcka och motstå granskning genom webbläsares utvecklarverktyg. Besökare från datacenter, proxyservrar eller VPN:er omdirigeras till en Microsoft-relaterad Wikipedia-sida via href.li-tjänsten, vilket ger kitet smeknamnet WikiKit från TRAC Labs.
Bedrägliga bilder för att vilseleda användare
För att förbättra dess äkthet, innehåller Sneaky 2FA suddiga bilder av legitima Microsoft-gränssnitt som bakgrunder på sina falska inloggningssidor. Denna taktik syftar till att lura användare att ange sina autentiseringsuppgifter under intrycket att de har tillgång till äkta Microsoft-innehåll.
Licensiering och länkar till W3LL Store
Sneaky 2FA-kitet kräver ett aktivt abonnemang för att fungera, med en licensnyckelverifiering som utförs via en central server. Tjänsten annonseras till $200 per månad och erbjuder exklusiv tillgång till dess funktioner. Undersökningar har också avslöjat kopplingar till W3LL Store, ett nätfiskesyndikat som tidigare var länkat till W3LL-panelen och verktyg som används i affärs-e-postkompromissattacker (BEC). Medan Sneaky 2FA delar en del kod och tekniker med W3LL Panel, tror forskare att det inte är en direkt efterföljare.
En historia om återanvändning och migrering av kod
Intressant nog verkar delar av Sneaky 2FA:s kodbas vara lånad från W3LL OV6, med deobfuskerade versioner av den senare som cirkulerat bland cyberbrottslingar de senaste åren. Vissa Sneaky 2FA-domäner var tidigare associerade med AitM-kit som Evilginx2 och Greatness, vilket tyder på en förändring bland vissa angripare mot att anta den nya tjänsten.
Ovanligt användaragentbeteende: En röd flagga
En av Sneaky 2FAs mest utmärkande egenskaper är dess användning av olika hårdkodade User-Agent-strängar under autentiseringsprocessen. Även om sådana övergångar kan inträffa i legitima scenarier (t.ex. växla mellan stationära appar och webbläsare), är den specifika sekvensen som används av Sneaky 2FA mycket oregelbunden. Denna anomali ger ett tillförlitligt sätt att upptäcka kitet i aktion.
Slutsats: Ett växande hot i cyberbrottslandskapet
Sneaky 2FA representerar en utveckling av nätfiskeverktyg, som kombinerar avancerade undanflyktstaktik, användarbedrägeri och en PhaaS-modell för att tillgodose cyberkriminella. Dess antagande belyser den ständigt föränderliga karaktären hos onlinehot och allvaret i att vara vaksam mot sofistikerade nätfiskekampanjer.
