Sneaky 2FA Phishing Kit
网络安全研究人员发现了一种复杂的中间人 (AitM) 网络钓鱼工具包,称为 Sneaky 2FA,该工具包至少自 2024 年 10 月以来一直在积极针对 Microsoft 365 帐户。该工具包旨在拦截凭据和双因素身份验证 (2FA) 代码,为威胁行为者提供了强大的帐户入侵工具。
目录
Sneaky 2FA 的广泛采用和特点
已发现近 100 个托管 Sneaky 2FA 网络钓鱼页面的域名,表明网络犯罪分子对此的采用程度不高。该工具包由一个名为 Sneaky Log 的组织以网络钓鱼即服务 (PhaaS) 的形式出售,通过功能丰富的 Telegram 机器人分发。客户会收到源代码的混淆版本,允许他们独立部署它。
针对受害者的网络钓鱼活动
据观察,利用 Sneaky 2FA 的活动会发送包含 PDF 附件的虚假付款收据电子邮件。这些 PDF 包含二维码,扫描后会将受害者重定向到模仿 Microsoft 365 登录门户的钓鱼页面。这些页面托管在受感染的基础设施上,通常涉及 WordPress 网站,并自动填充受害者的电子邮件地址以增加合法性。
强大的逃避和反分析策略
Sneaky 2FA 采用先进的反机器人和反分析技术。它会过滤流量并使用 Cloudflare Turnstile 挑战来限制对其凭证收集页面的访问。该工具包还会通过 Web 浏览器开发人员工具运行检查以检测和抵制审查。来自数据中心、代理或 VPN 的访问者会通过 href.li 服务重定向到与 Microsoft 相关的维基百科页面,因此 TRAC Labs 为该工具包取了 WikiKit 的昵称。
误导用户的欺骗性视觉效果
为了增强真实性,Sneaky 2FA 在其虚假登录页面上添加了合法 Microsoft 界面的模糊图像作为背景。此策略旨在欺骗用户输入其凭据,让他们误以为他们正在访问真正的 Microsoft 内容。
许可和 W3LL 商店链接
Sneaky 2FA 套件需要有效订阅才能运行,并通过中央服务器进行许可证密钥验证。该服务的广告价格为每月 200 美元,提供对其功能的独家访问。调查还揭示了与 W3LL Store 的联系,W3LL Store 是一个之前与 W3LL Panel 有关联的网络钓鱼集团,以及用于商业电子邮件入侵 (BEC) 攻击的工具。虽然 Sneaky 2FA 与 W3LL Panel 共享一些代码和技术,但研究人员认为它并不是直接的继承者。
代码重用和迁移的历史
有趣的是,Sneaky 2FA 的部分代码库似乎借鉴了 W3LL OV6,后者的反混淆版本近年来在网络犯罪分子中流传。一些 Sneaky 2FA 域名之前与 Evilginx2 和 Greatness 等 AitM 工具包相关联,这表明一些攻击者正在转向采用这项新服务。
不寻常的用户代理行为:危险信号
Sneaky 2FA 最显著的特征之一是它在身份验证过程中使用不同的硬编码用户代理字符串。虽然此类转换可能发生在合法场景中(例如,在桌面应用程序和 Web 浏览器之间切换),但 Sneaky 2FA 使用的特定序列非常不规则。这种异常为检测该工具包的运行提供了可靠的方法。
结论:网络犯罪威胁日益严重
Sneaky 2FA 代表了网络钓鱼工具的一次进化,它结合了先进的规避策略、用户欺骗和 PhaaS 模型,以满足网络犯罪分子的需求。它的采用凸显了网络威胁不断变化的性质以及对复杂的网络钓鱼活动保持警惕的严肃性。
