Sneaky 2FA Phishing Kit
網路安全研究人員發現了一種複雜的中間對手(AitM) 網路釣魚工具包,稱為Sneaky 2FA,該工具包至少自2024 年10 月以來一直積極針對Microsoft 365 帳戶。雙重認證( 2FA)代碼,為威脅行為者提供了一個強大的帳戶外洩工具。
目錄
偷偷摸摸的 2FA 的廣泛採用和特點
已識別出近 100 個託管隱密 2FA 網路釣魚頁面的網域,這表明網路犯罪分子已適度採用該網頁。該工具包由一個名為 Sneaky Log 的組織以網路釣魚即服務 (PhaaS) 的形式出售,透過功能豐富的 Telegram 機器人進行分發。客戶會收到原始程式碼的模糊版本,讓他們可以獨立部署它。
針對受害者的網路釣魚活動
據觀察,利用 Sneaky 2FA 的活動會發送包含 PDF 附件的虛假付款收據電子郵件。這些 PDF 包含 QR 碼,掃描後會將受害者重新導向至旨在模仿 Microsoft 365 登入入口網站的網路釣魚頁面。這些頁面託管在受損的基礎設施上,通常涉及 WordPress 網站,並自動填充受害者的電子郵件地址以提高合法性。
強大的規避和反分析策略
Sneaky 2FA 採用先進的反機器人和反分析技術。它過濾流量並使用 Cloudflare Turnstile 挑戰來限制對其憑證收集頁面的存取。該套件還透過網頁瀏覽器開發工具運行檢查來檢測和抵制審查。來自資料中心、代理程式或 VPN 的訪客將透過 href.li 服務重定向到與 Microsoft 相關的維基百科頁面,使該套件獲得 TRAC Labs 的暱稱 WikiKit。
欺騙性視覺效果誤導用戶
為了增強其真實性,Sneaky 2FA 在其虛假登錄頁面上融入了合法 Microsoft 介面的模糊圖像作為背景。此策略旨在欺騙使用者輸入憑證,讓他們誤以為他們正在存取正版 Microsoft 內容。
W3LL 商店的許可和鏈接
Sneaky 2FA 套件需要主動訂閱才能運行,並透過中央伺服器進行許可證金鑰驗證。該服務的廣告價格為每月 200 美元,提供對其功能的獨家訪問。調查還發現了與 W3LL Store 的聯繫,這是一個網路釣魚集團,之前與 W3LL 面板以及用於商業電子郵件洩露 (BEC) 攻擊的工具有聯繫。雖然 Sneaky 2FA 與 W3LL Panel 共享一些程式碼和技術,但研究人員認為它並不是直接的繼承者。
程式碼重用與遷移的歷史
有趣的是,Sneaky 2FA 的部分程式碼庫似乎是從 W3LL OV6 借用的,後者的去混淆版本近年來在網路犯罪分子中流傳。一些 Sneaky 2FA 域之前與 Evilginx2 和 Greatness 等 AitM 套件相關,這表明一些攻擊者轉向採用新服務。
異常的用戶代理行為:危險訊號
Sneaky 2FA 最顯著的特徵之一是它在身份驗證過程中使用不同的硬編碼用戶代理字串。雖然此類轉換可能發生在合法場景中(例如,在桌面應用程式和 Web 瀏覽器之間切換),但 Sneaky 2FA 使用的特定順序非常不規則。這種異常現象為檢測正在運行的套件提供了可靠的方法。
結論:網路犯罪領域日益增長的威脅
狡猾的 2FA 代表了網路釣魚工具的演變,它結合了先進的規避策略、用戶欺騙和 PhaaS 模型來迎合網路犯罪分子。它的採用凸顯了線上威脅不斷變化的性質以及對複雜的網路釣魚活動保持警惕的嚴重性。
