Sneaky 2FA: исследователи раскрыли новую схему кражи учётных данных

Исследователи в области кибербезопасности раскрыли новый фишинговый инструмент типа Adversary-in-the-Middle (AitM), который нацелен на учётные записи Microsoft 365 и способен красть учётные данные и коды двухфакторной аутентификации (2FA). Этот инструмент, получивший название Sneaky 2FA, активно используется с октября 2024 года.

Французская компания Sekoia впервые зафиксировала активность этого фишингового комплекта в декабре и выявила около 100 доменов, связанных с его использованием. Средний уровень распространения свидетельствует о том, что инструмент пользуется спросом среди киберпреступников.

Sneaky 2FA распространяется как услуга по модели фишинга как сервиса (PhaaS) через сервис Sneaky Log, работающий в Telegram. Покупатели получают обфусцированную версию исходного кода с лицензией, что позволяет самостоятельно развёртывать инструмент для фишинговых атак.

Одной из схем атак является рассылка электронных писем с ложными квитанциями об оплате. Получателей просят открыть вложенные PDF-файлы с QR-кодами, которые при сканировании перенаправляют на поддельные страницы аутентификации.

Sekoia сообщает, что такие страницы размещаются на скомпрометированных серверах, часто на базе WordPress или других управляемых доменах. Для повышения правдоподобия на поддельных страницах автоматически заполняется адрес электронной почты жертвы. Инструмент также защищён от анализа и ботов, применяя такие методы, как фильтрация трафика и проверка Cloudflare Turnstile.

Интересной деталью является переадресация посетителей с подозрительными IP-адресами (например, из облачных дата-центров или через VPN) на страницу Wikipedia, связанную с Microsoft. Этот подход получил название WikiKit от исследователей TRAC Labs.

Для обмана пользователей инструмент использует размытую графику, копируя интерфейсы Microsoft, что создаёт иллюзию подлинности. Проверки лицензии на сервере подтверждают, что комплект доступен только клиентам с активным ключом, стоимость которого составляет $200 в месяц.

Также было обнаружено, что Sneaky 2FA может быть связан с известным фишинговым комплектом W3LL Panel, ранее раскрытым Group-IB. Схожая модель лицензирования и особенности передачи данных указывают на связь этих инструментов.

Дополнительно выявлено, что несколько доменов Sneaky 2FA ранее использовались с другими известными фишинговыми комплектами, такими как Evilginx2 и Greatness. Это подтверждает переход некоторых киберпреступников на новый сервис.

Sekoia также отмечает необычные переходы между User-Agent строками в ходе процесса аутентификации, что помогает выявлять использование Sneaky 2FA. Этот редкий паттерн отличает инструмент от легитимного взаимодействия, позволяя аналитикам идентифицировать хакерские атаки.