Новый фишинговый набор, известный как "Sneaky 2FA,» представляет серьёзную угрозу для пользователей Microsoft 365. Он нацелен на кражу учетных данных и обход двухфакторной аутентификации (2FA), используя сложные техники. Этот набор распространяется по модели Phishing-as-a-Service (PhaaS), что делает его доступным для широкого круга злоумышленников.
"Sneaky 2FA" использует атаку «человек посередине» (Adversary-in-the-middle, AitM) для перехвата данных. Жертвам показывают поддельные страницы аутентификации Microsoft с размытым фоном, чтобы придать им видимость легитимности. Набор применяет меры против ботов и анализа, фильтруя трафик и выявляя попытки исследования. Для проверки легальности подписки используется центральный сервер.
Распространяется "Sneaky 2FA" через Telegram-бота под названием "Sneaky Log". Клиентам предоставляется лицензированный исходный код в обфусцированном виде, что позволяет им развертывать фишинговые страницы самостоятельно. Часто используется скомпрометированная инфраструктура, например, сайты на WordPress. Жертв заманивают электронными письмами с квитанциями об оплате, содержащими QR-коды, которые ведут на фишинговые страницы.
Техническая реализация "Sneaky 2FA" включает использование Cloudflare Turnstile для проверки на наличие ботов. Для фильтрации IP-адресов, исходящих из центров обработки данных, облачных провайдеров, ботов, прокси или VPN, используется сервис перенаправления href[.]li. При обнаружении таких IP-адресов, пользователи перенаправляются на страницу Microsoft в Википедии, что дало этому методу название "WikiKit".
Исследователи из французской компании Sekoia, во главе с Грегуаром Клермоном, обнаружили "Sneaky 2FA" в декабре. Они выявили около 100 доменов, хостящих фишинговые страницы. Есть предположения о связи с синдикатом W3LL Store, известным по набору W3LL Panel, разоблаченным Group-IB в сентябре 2023 года. "Sneaky 2FA" возможно основан на W3LL Panel, так как использует схожие методы AitM-реле и модель лицензирования.
Интересно, что некоторые домены, ранее использовавшиеся другими фишинговыми наборами, такими как Evilginx2 и Greatness, теперь хостят "Sneaky 2FA". Это говорит о том, что злоумышленники переходят на новые инструменты, чтобы избегать обнаружения.
Стоимость подписки на "Sneaky 2FA" составляет 200 долларов в месяц. При этом исходный код фишингового набора не так сложно получить. Использование набором различных User-Agent строк для различных этапов аутентификации является необычным для легитимной аутентификации, что может быть использовано для обнаружения активности.
Эксперты из TRAC Labs назвали функцию перенаправления с использованием href[.]li «WikiKit». Этот метод фильтрации трафика позволяет злоумышленникам отсеивать исследователей безопасности, работающих из определенных сетей.
Схожесть архитектуры "Sneaky 2FA" и W3LL OV6 (версии W3LL Panel) подчеркивает то, что существует связь между этими наборами. Обмен кодом среди злоумышленников является распространенным явлением, и новые инструменты могут быть основаны на старых разработках.
Активность "Sneaky 2FA" была зафиксирована с октября 2024 года. Это говорит о том, что фишинговый набор уже несколько месяцев представляет угрозу, и пользователям Microsoft 365 следует проявлять повышенную осторожность. Злоумышленники постоянно совершенствуют свои методы, и новые инструменты появляются с завидной регулярностью.
Изображение носит иллюстративный характер
"Sneaky 2FA" использует атаку «человек посередине» (Adversary-in-the-middle, AitM) для перехвата данных. Жертвам показывают поддельные страницы аутентификации Microsoft с размытым фоном, чтобы придать им видимость легитимности. Набор применяет меры против ботов и анализа, фильтруя трафик и выявляя попытки исследования. Для проверки легальности подписки используется центральный сервер.
Распространяется "Sneaky 2FA" через Telegram-бота под названием "Sneaky Log". Клиентам предоставляется лицензированный исходный код в обфусцированном виде, что позволяет им развертывать фишинговые страницы самостоятельно. Часто используется скомпрометированная инфраструктура, например, сайты на WordPress. Жертв заманивают электронными письмами с квитанциями об оплате, содержащими QR-коды, которые ведут на фишинговые страницы.
Техническая реализация "Sneaky 2FA" включает использование Cloudflare Turnstile для проверки на наличие ботов. Для фильтрации IP-адресов, исходящих из центров обработки данных, облачных провайдеров, ботов, прокси или VPN, используется сервис перенаправления href[.]li. При обнаружении таких IP-адресов, пользователи перенаправляются на страницу Microsoft в Википедии, что дало этому методу название "WikiKit".
Исследователи из французской компании Sekoia, во главе с Грегуаром Клермоном, обнаружили "Sneaky 2FA" в декабре. Они выявили около 100 доменов, хостящих фишинговые страницы. Есть предположения о связи с синдикатом W3LL Store, известным по набору W3LL Panel, разоблаченным Group-IB в сентябре 2023 года. "Sneaky 2FA" возможно основан на W3LL Panel, так как использует схожие методы AitM-реле и модель лицензирования.
Интересно, что некоторые домены, ранее использовавшиеся другими фишинговыми наборами, такими как Evilginx2 и Greatness, теперь хостят "Sneaky 2FA". Это говорит о том, что злоумышленники переходят на новые инструменты, чтобы избегать обнаружения.
Стоимость подписки на "Sneaky 2FA" составляет 200 долларов в месяц. При этом исходный код фишингового набора не так сложно получить. Использование набором различных User-Agent строк для различных этапов аутентификации является необычным для легитимной аутентификации, что может быть использовано для обнаружения активности.
Эксперты из TRAC Labs назвали функцию перенаправления с использованием href[.]li «WikiKit». Этот метод фильтрации трафика позволяет злоумышленникам отсеивать исследователей безопасности, работающих из определенных сетей.
Схожесть архитектуры "Sneaky 2FA" и W3LL OV6 (версии W3LL Panel) подчеркивает то, что существует связь между этими наборами. Обмен кодом среди злоумышленников является распространенным явлением, и новые инструменты могут быть основаны на старых разработках.
Активность "Sneaky 2FA" была зафиксирована с октября 2024 года. Это говорит о том, что фишинговый набор уже несколько месяцев представляет угрозу, и пользователям Microsoft 365 следует проявлять повышенную осторожность. Злоумышленники постоянно совершенствуют свои методы, и новые инструменты появляются с завидной регулярностью.
