Istraživači cyber sigurnosti opisali su novi adversary-in-the-middle (AitM) koji je sposoban za Microsoft 365 račune s ciljem krađe krendicjala i kodova za dvofaktorsku autentifikaciju (2FA) najmanje od oktobra 2024. godine.
Nova phishing kompleta je francuska kompanija za cyber sigurnost Sekoia nazvala Sneaky 2FA, koja ga je otkrila u divljini u decembru. Skoro 100 domena na kojima se nalaze Sneaky 2FA phishing stranice identifikovano je od ovog mjeseca, što ukazuje na umjereno usvajanje od strane hakera.
“Ovaj komplet se prodaje kao phishing-as-a-service (PhaaS) od strane cyber kriminalne usluge ‘Sneaky Log’, koja radi preko potpuno opremljenog bota na Telegramu”, navodi kompanija u analizi. “Kupci navodno dobijaju pristup licenciranoj zamagljenoj verziji izvornog koda i samostalno je implementiraju.”
Primijećene su phishing kampanje slanjem e-poruka u vezi s potvrdom o plaćanju kako bi se primaoci naveli da otvore lažne PDF dokumente koji sadrže QR kod koji ih, nakon skeniranja, preusmjerava na Sneaky 2FA stranice.
Sekoia je rekao da su phishing stranice hostirane na ugroženoj infrastrukturi, uglavnom uključujući WordPress web stranice i druge domene koje kontrolira napadač. Stranice za lažnu autentifikaciju su dizajnirane da automatski popunjavaju adresu e-pošte žrtve kako bi se povećala njihova legitimnost.
Komplet se takođe može pohvaliti nekoliko mjera protiv robota i analize, koristeći tehnike poput filtriranja prometa i izazova Cloudflare Turnstile kako bi se osiguralo da samo žrtve koje ispunjavaju određene kriterije budu usmjerene na stranice za prikupljanje krendicijala. Dalje pokreće seriju provjera kako bi otkrio i odupirao pokušaje analize pomoću alata za razvojne programere web pretraživača.
Značajan aspekt PhaaS-a je da se posetioci sajta čija IP adresa potiče iz data centra, provajdera u cloud-u
, bota, proksija ili VPN-a usmerava na stranicu Wikipedije koja se odnosi na Microsoft pomoću usluge preusmeravanja href[.]li. Ovo je navelo TRAC Labs da mu da ime WikiKit .
“Sneaky 2FA phishing komplet koristi nekoliko zamućenih slika kao pozadinu za svoje lažne Microsoft stranice za autentifikaciju,” objasnio je Sekoia. “Upotrebom snimaka ekrana legitimnih Microsoftovih interfejsa, ova taktika ima za cilj da obmane korisnike da se autentifikuju kako bi dobili pristup zamućenom sadržaju.”
Dalja istraga je otkrila da se komplet za krađu identiteta oslanja na provjeru sa centralnim serverom, vjerovatno operaterom, koji osigurava da je pretplata aktivna. Ovo ukazuje da samo kupci s važećim licencnim ključem mogu koristiti Sneaky 2FA za vođenje phishing kampanja. Komplet se oglašava za 200 dolara mjesečno.
To nije sve. Otkrivene su i reference izvornog koda koje upućuju na phishing sindikat pod nazivom W3LL Store , koji je prethodno razotkrio Group-IB u septembru 2023. kao iza kompleta za krađu identiteta nazvanog W3LL Panel i raznih alata za izvođenje napada kompromitacije poslovne e-pošte (BEC).
Ovo, zajedno sa sličnostima u implementaciji AitM releja, takođe je podiglo mogućnost da Sneaky 2FA može biti zasnovan na W3LL panelu. Posljednje takođe radi pod sličnim modelom licenciranja koji zahtijeva periodične provjere sa centralnim serverom.
U zanimljivom zaokretu, neki od Sneaky 2FA domena su prethodno bili povezani s poznatim AitM phishing setovima, kao što su Evilginx2 i Greatness – što je pokazatelj da je barem nekoliko cyber kriminalaca migriralo na novu uslugu.
“Kit za krađu identiteta koristi različite tvrdo kodirane nizove User-Agent za HTTP zahtjeve u zavisnosti od koraka toka autentifikacije”, rekli su istraživači Sekoie. “Ovo ponašanje je rijetko kod legitimne autentifikacije korisnika, jer bi korisnik morao izvršiti uzastopne korake autentifikacije iz različitih web pretraživača.”
„Dok se tranzicije User-Agent povremeno dešavaju u legitimnim situacijama (npr. autentifikacija pokrenuta u desktop aplikacijama koje pokreću web pretraživač ili WebView za rukovanje MFA), specifičan niz korisničkih agenata koje koristi Sneaky 2FA ne odgovara realnom scenariju, i nudi preciznu detekciju kompleta.”
Izvor:The Hacker News
