Phishing napadi su prikrivene sajber prijetnje u kojima hakeri glume ugledne subjekte kako bi prevarili pojedince da otkriju osjetljive informacije („lozinke“ ili „finansijske detalje“).
Ove vrste napada se izvode putem “e-poruka” ili “poruka” koje stvaraju osjećaj hitnosti.
I ne samo to, sve ove prevare često dovode žrtve do “malicioznih web stranica” ili ih “potaknu da preuzmu štetne priloge”.
Istraživači sajber sigurnosti u kompaniji Sekoia nedavno su otkrili da “Mamba” komplet alata aktivno zloupotrebljava višefaktorsku autentifikaciju u sofisticiranim phishing napadima.
Mamba Toolkit zloupotrebljava višefaktorsku autentifikaciju
U oktobru 2024. istraživači sajber sigurnosti otkrili su naprednu phishing kampanju pod nazivom “ Mamba 2FA ”.
Ova phishing kampanja cilja na korisnike Microsoft 365 putem sofisticiranih “HTML priloga” koji stvaraju uvjerljive replike “Microsoft stranica za prijavu”.
Dok ovaj komplet alata za krađu identiteta koristi „AiTM“ tehniku i koristi JavaScript biblioteku „Socket[.]IO“ za uspostavljanje „vebsocket konekcija u realnom vremenu“ sa pozadinskim serverima koji mu omogućavaju da izbjegne tradicionalne MFA zaštite.
Infrastruktura za krađu identiteta radi kroz “dvoslojni sistem” sa URL-ovima koji slijede određeni obrazac (https://{domain}/{m,n,o}/?{Base64 string}):-
- Link domene
- Relay serveri
Komplet podržava četiri različita šablona stranica za krađu identiteta, “OneDrive (o365_#one)”, “generička prijava na Microsoft (o365#nom)”, “SharePoint Online sigurna veza (o365#sp)” i “obavještenja o glasovnoj pošti (o365 #_glas).”
Dostupan je kao „PhaaS platforma“ za „250 USD po 30-dnevnoj pretplati“ putem Telegrama. Dakle, sa ovom pretplatom korisnici mogu generisati prilagođene “phishing linkove” i “HTML priloge” putem namjenskog bota.
HTML prilozi su posebno sofisticirani i sadrže zamagljeni ‘JavaScript kod’ koji preusmjerava žrtve na stranice za krađu identiteta dok koristi ‘CSS’ za skrivanje bezopasnog sadržaja, što detekciju čini još izazovnijom, prema izvještaju Sekoia .
Usluga održava zajednički skup servera i imena domena koji demonstrira njenu evoluciju od njenog početnog pojavljivanja na “ICQ” u novembru 2023. do sadašnjeg sofisticiranog oblika koji cilja na “više organizacija” putem svoje “distribuisane infrastrukture”.
Mamba 2FA phishing platforma nudi sljedeće mogućnosti:-
- Podržava MFA koji nije otporan na phishing.
- Integrira se sa Entra ID-om, AD FS-om, SSO-om trećih strana i Microsoft nalozima.
- Dinamički odražava brendiranje prilagođene prijave preduzeća.
- Trenutačno šalje ukradene vjerodajnice i kolačiće putem Telegram bota.
- Blokira pristup uslugama sigurnosnog skeniranja.
Domeni linkova su specijalizovane veb adrese koje se koriste u sofisticiranim operacijama krađe identiteta koje koriste sistem detekcije „antibot“ za filtriranje bezbjednosnih alata i automatizovanih skenera .
Kada ove domene otkriju potencijalna sigurnosna rješenja, automatski preusmjeravaju posjetitelje na bezopasnu stranicu (“https://google[.]com/404”).
Međutim, za redovne posjetioce, sistem služi minimalni HTML dokument koji uključuje kritične komponente („Socket.IO JavaScript biblioteka (verzija 4.7.5) za dvosmjernu komunikaciju u realnom vremenu“, „jedinstveni identifikatori pohranjeni u HTML atributima (sa ‘ sti’ atribut koji sadrži dvostruki Base64 kodirani korisnički ID i ‘vic’ atribut koji pohranjuje ciljnu e-poštu)” i “skripte predložaka (kao što je jsdrive.js za OneDrive,” “jsnom.js za Microsoft prijavu, “jssp. js za SharePoint“ i „jsv.js za predloške govorne pošte“).
Ovi predlošci upravljaju izgledom stranice za krađu identiteta i uspostavljaju WebSocket veze sa relejnim serverima koji pomažu u obradi korisničkih unosa kao što su ‘adrese e-pošte’, ‘lozinke’ i ‘MFA kodovi’ putem specifičnih naredbi događaja (‘nova-session’, ‘password_command’, ‘otp_command’).
Sistem koristi događaje odgovora (‘s2c’, ‘s2c_cookies’, ‘s2c_restart’) da kontroliše ponašanje stranice i ažuriranja dok koristi proxy servere da prikrije pravo porijeklo pokušaja autentifikacije protiv Microsoftovih “Entra ID servera”, što infrastrukturu napada čini više „otporan“ i „teže“ za praćenje.
Izvor: CyberSecurityNews