Palihim na 2FA Phishing Kit
Natuklasan ng mga mananaliksik sa cybersecurity ang isang sopistikadong Adversary-in-the-Middle (AitM) phishing kit, na tinatawag na Sneaky 2FA, na aktibong nagta-target sa mga Microsoft 365 account mula noong Oktubre 2024 man lang. Ang kit na ito ay inihanda para ma-intercept ang mga kredensyal at Two-Factor Authentication ( 2FA) na mga code, na nag-aalok sa mga aktor ng pagbabanta ng isang mahusay na tool para sa kompromiso sa account.
Talaan ng mga Nilalaman
Laganap na Pag-ampon at Mga Tampok ng Sneaky 2FA
Natukoy ang halos 100 domain na nagho-host ng mga Sneaky 2FA phishing page, na nagpapahiwatig ng katamtamang pag-aampon sa mga cybercriminal. Nabenta bilang Phishing-as-a-Service (PhaaS) ng isang pangkat na tinatawag na Sneaky Log, ang kit na ito ay ipinamamahagi sa pamamagitan ng isang Telegram bot na mayaman sa tampok. Makakatanggap ang mga customer ng na-obfuscated na bersyon ng source code, na nagpapahintulot sa kanila na i-deploy ito nang nakapag-iisa.
Mga Kampanya ng Phishing na Nagta-target sa mga Biktima
Naobserbahan ang mga campaign na gumagamit ng Sneaky 2FA na nagpapadala ng mga pekeng email ng resibo ng pagbabayad na naglalaman ng mga PDF attachment. Kasama sa mga PDF na ito ang mga QR code na, kapag na-scan, ay nagre-redirect ng mga biktima sa mga pahina ng phishing na idinisenyo upang gayahin ang mga portal ng pag-log in sa Microsoft 365. Ang mga pahinang ito ay naka-host sa nakompromisong imprastraktura, kadalasang kinasasangkutan ng mga website ng WordPress, at awtomatikong pinupunan ang mga email address ng mga biktima upang mapataas ang pagiging lehitimo.
Matatag na Mga Taktika sa Pag-iwas at Anti-Analysis
Gumagamit ang Sneaky 2FA ng mga advanced na diskarte sa anti-bot at anti-analysis. Sinasala nito ang trapiko at gumagamit ng mga hamon sa Cloudflare Turnstile upang paghigpitan ang pag-access sa mga pahina ng pag-aani ng kredensyal. Ang kit ay nagpapatakbo din ng mga pagsusuri upang makita at labanan ang pagsisiyasat sa pamamagitan ng mga tool sa developer ng web browser. Ang mga bisita mula sa mga data center, proxy, o VPN ay nire-redirect sa isang pahina ng Wikipedia na nauugnay sa Microsoft sa pamamagitan ng serbisyo ng href.li, na nakuha ang kit ng palayaw na WikiKit mula sa TRAC Labs.
Mga Mapanlinlang na Visual para Mapanlinlang ang Mga User
Upang mapahusay ang pagiging tunay nito, isinasama ng Sneaky 2FA ang mga malabong larawan ng mga lehitimong interface ng Microsoft bilang mga background sa mga pekeng pahina ng pag-login nito. Nilalayon ng taktika na ito na linlangin ang mga user na ilagay ang kanilang mga kredensyal sa ilalim ng impresyon na ina-access nila ang tunay na nilalaman ng Microsoft.
Paglilisensya at Mga Link sa W3LL Store
Ang Sneaky 2FA kit ay nangangailangan ng isang aktibong subscription upang gumana, na may isang pag-verify ng key ng lisensya na isinasagawa sa pamamagitan ng isang sentral na server. Ang serbisyo ay ina-advertise sa $200 bawat buwan, na nag-aalok ng eksklusibong pag-access sa mga tampok nito. Ang mga pagsisiyasat ay nagsiwalat din ng mga koneksyon sa W3LL Store, isang phishing syndicate na dating naka-link sa W3LL Panel at mga tool na ginagamit sa mga pag-atake sa business email compromise (BEC). Habang ang Sneaky 2FA ay nagbabahagi ng ilang code at diskarte sa W3LL Panel, naniniwala ang mga mananaliksik na hindi ito direktang kahalili.
Isang Kasaysayan ng Muling Paggamit at Paglipat ng Code
Kapansin-pansin, ang mga bahagi ng codebase ng Sneaky 2FA ay lumalabas na hiniram mula sa W3LL OV6, na may mga deobfuscated na bersyon ng huli na umiikot sa mga cybercriminal sa mga nakaraang taon. Ang ilang Sneaky 2FA domain ay dating nauugnay sa mga AitM kit tulad ng Evilginx2 at Greatness, na nagmumungkahi ng pagbabago sa ilang mga umaatake patungo sa paggamit ng bagong serbisyo.
Hindi Karaniwang Gawi ng User-Agent: Isang Pulang Bandila
Isa sa mga pinakanatatanging katangian ng Sneaky 2FA ay ang paggamit nito ng iba't ibang hardcoded na string ng User-Agent sa panahon ng proseso ng pagpapatunay. Bagama't maaaring mangyari ang mga naturang transition sa mga lehitimong sitwasyon (hal., pagpalipat-lipat sa pagitan ng mga desktop app at web browser), ang partikular na sequence na ginagamit ng Sneaky 2FA ay lubhang hindi regular. Ang anomalyang ito ay nagbibigay ng maaasahang paraan para matukoy ang kit na kumikilos.
Konklusyon: Isang Lumalagong Banta sa Cybercrime Landscape
Ang Sneaky 2FA ay kumakatawan sa isang ebolusyon sa mga tool sa phishing, pinagsasama ang mga advanced na taktika sa pag-iwas, panlilinlang ng user, at isang modelo ng PhaaS upang tumugon sa mga cybercriminal. Itinatampok ng pagpapatibay nito ang pabago-bagong katangian ng mga banta sa online at ang kabigatan ng pananatiling mapagbantay laban sa mga sopistikadong kampanya sa phishing.
