Sneaky 2FA Phishing Kit

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยชุดฟิชชิ่ง Adversary-in-the-Middle (AitM) ที่ซับซ้อน เรียกว่า Sneaky 2FA ซึ่งได้มุ่งเป้าไปที่บัญชี Microsoft 365 อย่างจริงจังมาตั้งแต่เดือนตุลาคม 2024 เป็นอย่างน้อย ชุดดังกล่าวได้รับการออกแบบมาเพื่อสกัดกั้นข้อมูลรับรองและรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ทำให้ผู้ก่อภัยคุกคามมีเครื่องมืออันทรงพลังในการบุกรุกบัญชี

การนำมาใช้และคุณลักษณะของ Sneaky 2FA อย่างแพร่หลาย

มีการระบุโดเมนเกือบ 100 แห่งที่โฮสต์หน้าฟิชชิ่ง Sneaky 2FA ซึ่งเป็นสัญญาณว่าอาชญากรไซเบอร์นำไปใช้ในระดับปานกลาง ชุดนี้จำหน่ายโดยกลุ่มที่เรียกตัวเองว่า Sneaky Log ในรูปแบบ Phishing-as-a-Service (PhaaS) และแจกจ่ายผ่านบ็อต Telegram ที่มีคุณสมบัติครบครัน ลูกค้าจะได้รับโค้ดต้นฉบับในเวอร์ชันที่ปกปิดไว้ ซึ่งช่วยให้พวกเขาปรับใช้ได้อย่างอิสระ

แคมเปญฟิชชิ่งที่กำหนดเป้าหมายเหยื่อ

พบว่าแคมเปญที่ใช้ Sneaky 2FA ส่งอีเมลใบเสร็จรับเงินปลอมที่มีไฟล์แนบเป็น PDF PDF เหล่านี้มีรหัส QR ซึ่งเมื่อสแกนแล้ว จะนำเหยื่อไปยังหน้าฟิชชิ่งที่ออกแบบมาเพื่อเลียนแบบพอร์ทัลการเข้าสู่ระบบ Microsoft 365 หน้าเหล่านี้โฮสต์อยู่บนโครงสร้างพื้นฐานที่ถูกบุกรุก ซึ่งมักเกี่ยวข้องกับเว็บไซต์ WordPress และจะเติมที่อยู่อีเมลของเหยื่อโดยอัตโนมัติเพื่อเพิ่มความชอบธรรม

กลยุทธ์การหลบเลี่ยงและต่อต้านการวิเคราะห์ที่แข็งแกร่ง

Sneaky 2FA ใช้เทคนิคต่อต้านบ็อตและการวิเคราะห์ขั้นสูง โดยจะกรองการรับส่งข้อมูลและใช้ความท้าทายของ Cloudflare Turnstile เพื่อจำกัดการเข้าถึงหน้าการรวบรวมข้อมูลประจำตัว นอกจากนี้ ชุดตรวจสอบยังทำการตรวจสอบเพื่อตรวจจับและต่อต้านการตรวจสอบผ่านเครื่องมือสำหรับนักพัฒนาเว็บเบราว์เซอร์ ผู้เยี่ยมชมจากศูนย์ข้อมูล พร็อกซี หรือ VPN จะถูกเปลี่ยนเส้นทางไปยังหน้า Wikipedia ที่เกี่ยวข้องกับ Microsoft ผ่านบริการ href.li ทำให้ชุดตรวจสอบนี้ได้รับฉายาว่า WikiKit จาก TRAC Labs

ภาพหลอกลวงเพื่อหลอกลวงผู้ใช้

เพื่อเพิ่มความน่าเชื่อถือ Sneaky 2FA ได้นำภาพอินเทอร์เฟซ Microsoft ที่ถูกต้องมาเบลอๆ เป็นพื้นหลังในหน้าเข้าสู่ระบบปลอม กลวิธีนี้มีจุดมุ่งหมายเพื่อหลอกให้ผู้ใช้ป้อนข้อมูลประจำตัวโดยเข้าใจผิดว่ากำลังเข้าถึงเนื้อหา Microsoft ของแท้

การออกใบอนุญาตและลิงก์ไปยัง W3LL Store

ชุด Sneaky 2FA จำเป็นต้องสมัครสมาชิกก่อนจึงจะใช้งานได้ โดยจะต้องทำการตรวจสอบรหัสลิขสิทธิ์ผ่านเซิร์ฟเวอร์ส่วนกลาง บริการนี้มีราคาโฆษณาอยู่ที่ 200 ดอลลาร์ต่อเดือน โดยให้สิทธิ์เข้าถึงฟีเจอร์ต่างๆ ของบริการนี้โดยเฉพาะ การสืบสวนยังเผยให้เห็นถึงความเชื่อมโยงกับ W3LL Store ซึ่งเป็นกลุ่มฟิชชิ่งที่เคยเชื่อมโยงกับ W3LL Panel และเครื่องมือที่ใช้ในการโจมตีทางอีเมลเพื่อธุรกิจ (BEC) แม้ว่า Sneaky 2FA จะแบ่งปันโค้ดและเทคนิคบางอย่างกับ W3LL Panel แต่บรรดานักวิจัยเชื่อว่า Sneaky 2FA ไม่ใช่ผู้สืบทอดโดยตรง

ประวัติการนำโค้ดกลับมาใช้และการย้ายข้อมูล

ที่น่าสนใจคือ โค้ดบางส่วนของ Sneaky 2FA ดูเหมือนจะยืมมาจาก W3LL OV6 โดยมีเวอร์ชัน deobfuscated ของเวอร์ชันหลังที่แพร่หลายในหมู่ผู้ก่ออาชญากรรมทางไซเบอร์ในช่วงไม่กี่ปีที่ผ่านมา โดเมน Sneaky 2FA บางโดเมนเคยเชื่อมโยงกับชุด AitM เช่น Evilginx2 และ Greatness ซึ่งบ่งชี้ว่าผู้โจมตีบางรายหันมาใช้บริการใหม่นี้แทน

พฤติกรรมของ User-Agent ที่ผิดปกติ: สัญญาณอันตราย

ลักษณะเด่นอย่างหนึ่งของ Sneaky 2FA คือการใช้สตริง User-Agent ที่เข้ารหัสแบบฮาร์ดโค้ดที่แตกต่างกันระหว่างกระบวนการตรวจสอบสิทธิ์ แม้ว่าการเปลี่ยนแปลงดังกล่าวอาจเกิดขึ้นในสถานการณ์ที่ถูกต้อง (เช่น การสลับระหว่างแอปเดสก์ท็อปและเว็บเบราว์เซอร์) แต่ลำดับเฉพาะที่ Sneaky 2FA ใช้มีความไม่สม่ำเสมออย่างมาก ความผิดปกตินี้ให้วิธีการที่เชื่อถือได้สำหรับการตรวจจับชุดอุปกรณ์ขณะใช้งาน

บทสรุป: ภัยคุกคามที่เพิ่มขึ้นในภูมิทัศน์ของอาชญากรรมทางไซเบอร์

Sneaky 2FA ถือเป็นวิวัฒนาการของเครื่องมือฟิชชิ่งที่ผสมผสานกลวิธีหลบเลี่ยงขั้นสูง การหลอกลวงผู้ใช้ และโมเดล PhaaS เพื่อรองรับอาชญากรไซเบอร์ การนำมาใช้เน้นย้ำถึงธรรมชาติที่เปลี่ยนแปลงตลอดเวลาของภัยคุกคามออนไลน์และความจริงจังของการเฝ้าระวังแคมเปญฟิชชิ่งที่ซับซ้อน