Sneaky 2FA Phishing Kit
Siber güvenlik araştırmacıları, en azından Ekim 2024'ten beri Microsoft 365 hesaplarını aktif olarak hedef alan Sneaky 2FA adlı gelişmiş bir Ortadaki Saldırgan (AitM) kimlik avı kitini ortaya çıkardı. Bu kit, kimlik bilgilerini ve İki Faktörlü Kimlik Doğrulama (2FA) kodlarını ele geçirmek için tasarlanmıştır ve tehdit aktörlerine hesap tehlikeye atmak için güçlü bir araç sunar.
İçindekiler
Sneaky 2FA’nın Yaygın Benimsenmesi ve Özellikleri
Siber suçlular arasında orta düzeyde benimsenme sinyali veren, Sinsi 2FA kimlik avı sayfalarını barındıran yaklaşık 100 alan adı belirlendi. Sinsi Log adlı bir grup tarafından Kimlik Avı Hizmeti (PhaaS) olarak satılan bu kit, özellik açısından zengin bir Telegram botu aracılığıyla dağıtılıyor. Müşteriler, kaynak kodunun gizlenmiş bir sürümünü alıyor ve bu da kodu bağımsız olarak dağıtmalarına olanak tanıyor.
Mağdurları Hedef Alan Kimlik Avı Kampanyaları
Sneaky 2FA'dan yararlanan kampanyaların PDF ekleri içeren sahte ödeme makbuzu e-postaları gönderdiği gözlemlendi. Bu PDF'ler, tarandığında kurbanları Microsoft 365 oturum açma portallarını taklit etmek için tasarlanmış kimlik avı sayfalarına yönlendiren QR kodları içerir. Bu sayfalar, genellikle WordPress web sitelerini içeren, tehlikeye atılmış altyapıda barındırılır ve meşruiyeti artırmak için kurbanların e-posta adreslerini otomatik olarak doldurur.
Güçlü Kaçınma ve Analiz Karşıtı Taktikler
Sneaky 2FA gelişmiş anti-bot ve anti-analiz teknikleri kullanır. Trafiği filtreler ve kimlik bilgisi toplama sayfalarına erişimi kısıtlamak için Cloudflare Turnstile zorluklarını kullanır. Kit ayrıca web tarayıcısı geliştirici araçları aracılığıyla incelemeyi tespit etmek ve direnmek için kontroller çalıştırır. Veri merkezlerinden, proxy'lerden veya VPN'lerden gelen ziyaretçiler href.li hizmeti aracılığıyla Microsoft ile ilgili bir Wikipedia sayfasına yönlendirilir ve bu da kitin TRAC Labs'tan WikiKit takma adını almasını sağlar.
Kullanıcıları Yanıltmak İçin Aldatıcı Görseller
Sneaky 2FA, gerçekliğini artırmak için sahte oturum açma sayfalarında arka plan olarak meşru Microsoft arayüzlerinin bulanık görüntülerini kullanır. Bu taktik, kullanıcıları gerçek Microsoft içeriğine eriştikleri izlenimi altında kimlik bilgilerini girmeye kandırmayı amaçlar.
Lisanslama ve W3LL Mağazasına Bağlantılar
Sneaky 2FA kitinin çalışması için aktif bir abonelik gerekir ve lisans anahtarı doğrulaması merkezi bir sunucu üzerinden gerçekleştirilir. Hizmet, özelliklerine özel erişim sunarak ayda 200 dolardan reklamı yapılır. Soruşturmalar ayrıca, daha önce W3LL Panel ile bağlantılı olan bir kimlik avı sendikası olan W3LL Store ile bağlantıları ve iş e-postası tehlikeye atma (BEC) saldırılarında kullanılan araçları da ortaya çıkardı. Sneaky 2FA, W3LL Panel ile bazı kod ve teknikleri paylaşsa da araştırmacılar bunun doğrudan bir halefi olmadığına inanıyor.
Kod Yeniden Kullanımı ve Göçünün Tarihi
İlginçtir ki, Sneaky 2FA'nın kod tabanının bazı kısımları W3LL OV6'dan ödünç alınmış gibi görünüyor ve son yıllarda siber suçlular arasında ikincisinin gizlenmemiş sürümleri dolaşıyor. Bazı Sneaky 2FA etki alanları daha önce Evilginx2 ve Greatness gibi AitM kitleriyle ilişkilendirilmişti ve bu da bazı saldırganların yeni hizmeti benimsemeye doğru bir kaymaya işaret ediyor.
Alışılmadık Kullanıcı Aracısı Davranışı: Bir Kırmızı Bayrak
Sneaky 2FA'nın en belirgin özelliklerinden biri, kimlik doğrulama süreci sırasında farklı sabit kodlu User-Agent dizelerinin kullanılmasıdır. Bu tür geçişler meşru senaryolarda (örneğin, masaüstü uygulamaları ve web tarayıcıları arasında geçiş yaparken) meydana gelebilse de, Sneaky 2FA tarafından kullanılan belirli sıra oldukça düzensizdir. Bu anormallik, kiti eylem halinde tespit etmek için güvenilir bir yol sağlar.
Sonuç: Siber Suç Alanında Artan Bir Tehdit
Gizli 2FA, gelişmiş kaçınma taktikleri, kullanıcı aldatmacası ve siber suçlulara hizmet etmek için bir PhaaS modelini bir araya getirerek kimlik avı araçlarında bir evrimi temsil eder. Benimsenmesi, çevrimiçi tehditlerin sürekli değişen doğasını ve karmaşık kimlik avı kampanyalarına karşı uyanık kalmanın ciddiyetini vurgular.
