Прихований набір для фішингу 2FA
Дослідники з кібербезпеки виявили складний фішинговий набір Adversary-in-the-Middle (AitM), який отримав назву Sneaky 2FA, який активно атакує облікові записи Microsoft 365 принаймні з жовтня 2024 року. Цей набір розроблено для перехоплення облікових даних і двофакторної автентифікації ( 2FA) коди, пропонуючи суб’єктам загрози потужний інструмент для облікового запису компроміс.
Зміст
Широке впровадження та особливості Sneaky 2FA
Виявлено майже 100 доменів, на яких розміщені фішингові сторінки Sneaky 2FA, що свідчить про помірне впровадження серед кіберзлочинців. Цей набір продається групою під назвою Sneaky Log як Phishing-as-a-Service (PhaaS) і поширюється через багатофункціональний бот Telegram. Клієнти отримують обфусцовану версію вихідного коду, що дозволяє їм розгортати його самостійно.
Фішингові кампанії, націлені на жертв
Помічено, що кампанії, що використовують Sneaky 2FA, надсилають електронні листи з підробленими квитанціями про оплату з вкладеннями у форматі PDF. Ці PDF-файли містять QR-коди, які під час сканування перенаправляють жертв на фішингові сторінки, створені для імітації порталів входу Microsoft 365. Ці сторінки розміщуються на скомпрометованій інфраструктурі, часто залучаючи веб-сайти WordPress, і автоматично заповнюють електронні адреси жертв для підвищення легітимності.
Надійна тактика ухилення та антианалізу
Sneaky 2FA використовує вдосконалені методи боротьби з ботами та аналізу. Він фільтрує трафік і використовує виклики Cloudflare Turnstile, щоб обмежити доступ до своїх сторінок збору облікових даних. Набір також перевіряє інструменти розробника веб-браузера, щоб виявити та протистояти перевірці. Відвідувачі з центрів обробки даних, проксі-серверів або VPN перенаправляються на сторінку Вікіпедії, пов’язану з Microsoft, через службу href.li, завдяки чому набір отримав псевдонім WikiKit від TRAC Labs.
Оманливі зображення для введення користувачів в оману
Щоб підвищити свою автентичність, Sneaky 2FA використовує розмиті зображення законних інтерфейсів Microsoft як фон на своїх підроблених сторінках входу. Ця тактика спрямована на те, щоб змусити користувачів вводити свої облікові дані під враженням, що вони мають доступ до справжнього вмісту Microsoft.
Ліцензування та посилання на W3LL Store
Для роботи комплекту Sneaky 2FA потрібна активна підписка з перевіркою ліцензійного ключа через центральний сервер. Послуга рекламується за 200 доларів на місяць, пропонуючи ексклюзивний доступ до її функцій. Розслідування також виявили зв’язки з W3LL Store, фішинговим синдикатом, який раніше був пов’язаний з W3LL Panel та інструментами, які використовувалися для атак компрометації бізнес-електронної пошти (BEC). Хоча Sneaky 2FA ділиться деяким кодом і методами з W3LL Panel, дослідники вважають, що він не є прямим наступником.
Історія повторного використання та міграції коду
Цікаво, що частини кодової бази Sneaky 2FA, схоже, запозичені з W3LL OV6, а деобфусковані версії останнього циркулюють серед кіберзлочинців останніми роками. Деякі домени Sneaky 2FA раніше були пов’язані з наборами AitM, такими як Evilginx2 і Greatness, що свідчить про перехід серед деяких зловмисників до впровадження нової служби.
Незвичайна поведінка агента користувача: червоний прапор
Однією з найвідмітніших рис Sneaky 2FA є використання різних жорстко закодованих рядків User-Agent під час процесу автентифікації. Хоча такі переходи можуть відбуватися в законних сценаріях (наприклад, перемикання між настільними програмами та веб-браузерами), конкретна послідовність, яку використовує Sneaky 2FA, дуже нерегулярна. Ця аномалія є надійним засобом для виявлення набору в дії.
Висновок: зростаюча загроза в кіберзлочинності
Sneaky 2FA представляє еволюцію інструментів для фішингу, поєднуючи вдосконалені тактики ухилення, обман користувачів і модель PhaaS для захисту кіберзлочинців. Його прийняття підкреслює постійну мінливість природи онлайн-загроз і серйозність збереження пильності проти складних фішингових кампаній.
