Sneaky 2FA Phishing Kit
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một bộ công cụ lừa đảo Adversary-in-the-Middle (AitM) tinh vi, được gọi là Sneaky 2FA, đã tích cực nhắm mục tiêu vào các tài khoản Microsoft 365 kể từ ít nhất tháng 10 năm 2024. Bộ công cụ này được thiết kế để chặn thông tin đăng nhập và mã Xác thực hai yếu tố (2FA), cung cấp cho kẻ tấn công một công cụ mạnh mẽ để xâm phạm tài khoản.
Mục lục
Sự áp dụng rộng rãi và các tính năng của Sneaky 2FA
Gần 100 tên miền lưu trữ các trang lừa đảo Sneaky 2FA đã được xác định, báo hiệu sự áp dụng vừa phải trong số tội phạm mạng. Được bán dưới dạng Phishing-as-a-Service (PhaaS) bởi một nhóm có tên là Sneaky Log, bộ công cụ này được phân phối thông qua bot Telegram giàu tính năng. Khách hàng nhận được phiên bản mã nguồn được che giấu, cho phép họ triển khai độc lập.
Các chiến dịch lừa đảo nhắm vào nạn nhân
Các chiến dịch tận dụng Sneaky 2FA đã được phát hiện gửi email biên lai thanh toán giả có chứa tệp đính kèm PDF. Các tệp PDF này bao gồm mã QR, khi được quét, sẽ chuyển hướng nạn nhân đến các trang lừa đảo được thiết kế để bắt chước các cổng thông tin đăng nhập Microsoft 365. Các trang này được lưu trữ trên cơ sở hạ tầng bị xâm phạm, thường liên quan đến các trang web WordPress và tự động điền địa chỉ email của nạn nhân để tăng tính hợp pháp.
Chiến thuật né tránh và chống phân tích mạnh mẽ
Sneaky 2FA sử dụng các kỹ thuật chống bot và chống phân tích tiên tiến. Nó lọc lưu lượng truy cập và sử dụng các thử thách Cloudflare Turnstile để hạn chế quyền truy cập vào các trang thu thập thông tin xác thực của nó. Bộ công cụ này cũng chạy các kiểm tra để phát hiện và chống lại sự giám sát thông qua các công cụ dành cho nhà phát triển trình duyệt web. Khách truy cập từ các trung tâm dữ liệu, proxy hoặc VPN được chuyển hướng đến một trang Wikipedia liên quan đến Microsoft thông qua dịch vụ href.li, giúp bộ công cụ này có biệt danh là WikiKit từ TRAC Labs.
Hình ảnh lừa dối để đánh lừa người dùng
Để tăng tính xác thực, Sneaky 2FA kết hợp hình ảnh mờ của giao diện Microsoft hợp lệ làm nền trên các trang đăng nhập giả mạo. Chiến thuật này nhằm mục đích đánh lừa người dùng nhập thông tin đăng nhập của họ với ấn tượng rằng họ đang truy cập nội dung Microsoft chính hãng.
Cấp phép và Liên kết đến Cửa hàng W3LL
Bộ Sneaky 2FA yêu cầu đăng ký đang hoạt động để hoạt động, với xác minh khóa cấp phép được thực hiện thông qua máy chủ trung tâm. Dịch vụ được quảng cáo với giá 200 đô la một tháng, cung cấp quyền truy cập độc quyền vào các tính năng của nó. Các cuộc điều tra cũng đã tiết lộ các kết nối đến W3LL Store, một tổ chức lừa đảo trước đây được liên kết với W3LL Panel và các công cụ được sử dụng trong các cuộc tấn công xâm phạm email doanh nghiệp (BEC). Mặc dù Sneaky 2FA chia sẻ một số mã và kỹ thuật với W3LL Panel, các nhà nghiên cứu tin rằng nó không phải là người kế nhiệm trực tiếp.
Lịch sử tái sử dụng và di chuyển mã
Điều thú vị là một số phần của cơ sở mã Sneaky 2FA dường như được mượn từ W3LL OV6, với các phiên bản giải mã của phiên bản sau này đang lưu hành trong giới tội phạm mạng trong những năm gần đây. Một số tên miền Sneaky 2FA trước đây đã được liên kết với các bộ AitM như Evilginx2 và Greatness, cho thấy một số kẻ tấn công đang chuyển hướng sang áp dụng dịch vụ mới.
Hành vi bất thường của User-Agent: Một lá cờ đỏ
Một trong những đặc điểm nổi bật nhất của Sneaky 2FA là việc sử dụng các chuỗi User-Agent được mã hóa cứng khác nhau trong quá trình xác thực. Mặc dù các quá trình chuyển đổi như vậy có thể xảy ra trong các tình huống hợp lệ (ví dụ: chuyển đổi giữa các ứng dụng trên máy tính để bàn và trình duyệt web), nhưng trình tự cụ thể mà Sneaky 2FA sử dụng lại rất bất thường. Sự bất thường này cung cấp một phương tiện đáng tin cậy để phát hiện bộ công cụ đang hoạt động.
Kết luận: Mối đe dọa ngày càng gia tăng trong bối cảnh tội phạm mạng
Sneaky 2FA đại diện cho sự phát triển của các công cụ lừa đảo, kết hợp các chiến thuật trốn tránh tiên tiến, lừa dối người dùng và mô hình PhaaS để phục vụ tội phạm mạng. Việc áp dụng nó làm nổi bật bản chất luôn thay đổi của các mối đe dọa trực tuyến và sự nghiêm trọng của việc luôn cảnh giác trước các chiến dịch lừa đảo tinh vi.
