Новый фишинговый набор Sneaky 2FA: атака на Microsoft 365 с обходом двухфакторной аутентификации
Исследователи компании Sekoia описали новый набор фишинговых атак типа «злоумышленник посередине» (AitM), способный красть учетные данные и коды двухфакторной аутентификации (2FA) пользователей Microsoft 365. Этот набор, известный как Sneaky 2FA, активно используется с октября 2024 года.
Sneaky 2FA был обнаружен в декабре 2024 года, а по состоянию на январь 2025 года выявлено около 100 доменов, где размещены фишинговые страницы. Это свидетельствует о росте интереса к набору среди киберпреступников.
Фишинговый комплект продается как «фишинг-как-услуга» (PhaaS) через Telegram-бот Sneaky Log. Покупатели получают доступ к лицензированной версии запутанного исходного кода и могут самостоятельно развернуть его.
Как работает атака
Киберпреступники отправляют жертвам электронные письма с ложными квитанциями об оплате. Эти письма содержат поддельные PDF-файлы с QR-кодами, которые перенаправляют пользователей на страницы для ввода кодов 2FA. Фишинговые страницы размещаются на скомпрометированных сайтах, включая WordPress-домены, и автоматически подставляют адреса электронной почты жертв, чтобы повысить доверие.
Sneaky 2FA использует методы защиты от анализа, такие как фильтрация трафика, проверки Cloudflare Turnstile и переадресация подозрительных пользователей (например, ботов или тех, кто использует VPN) на страницы Wikipedia, связанные с Microsoft. Этот подход, названный TRAC Labs «WikiKit», затрудняет выявление фишинговых кампаний.
Дополнительные меры безопасности включают использование размытых изображений интерфейса Microsoft для создания иллюзии подлинности. Жертвы вводят данные для аутентификации, полагая, что проходят легитимную процедуру.
Лицензирование и связь с другими наборами
Sneaky 2FA требует проверки через центральный сервер, который обеспечивает активацию только для клиентов с действующим лицензионным ключом. Стоимость подписки составляет 200 долларов в месяц.
Исследователи обнаружили связь Sneaky 2FA с другими известными фишинговыми наборами, включая W3LL Panel, раскрытый компанией Group-IB в 2023 году. Sneaky 2FA заимствует кодовые фрагменты из W3LL OV6, что позволяет предположить общие корни. Однако Sekoia утверждает, что это независимый проект, а разработчики W3LL Panel продолжают поддерживать и развивать свой набор.
Признаки активности и методы обнаружения
Некоторые домены, связанные с Sneaky 2FA, ранее использовались в других фишинговых кампаниях, например Evilginx2 и Greatness. Кроме того, Sneaky 2FA отличается использованием уникальных последовательностей User-Agent в HTTP-запросах на разных этапах аутентификации. Такие переходы редко встречаются у законных пользователей, что помогает эффективно обнаруживать набор.
Sneaky 2FA демонстрирует эволюцию фишинговых атак, включая внедрение сложных методов обхода двухфакторной аутентификации и защитных механизмов. Это подчеркивает важность усиленной киберзащиты и регулярного обучения сотрудников.