В декабре 2024 года в ходе рутинной проверки угроз был выявлен новый фишинговый набор «Противник посередине» (AiTM), нацеленный на учетные записи Microsoft 365. Этот набор, известный как «Sneaky 2FA», торговался через сервис по борьбе с киберпреступностью «Sneaky Log» в рамках модели «Фишинг как услуга» (PhaaS).
Методы и механизмы работы Sneaky 2FA
Согласно отчету, данные фишинговые страницы оставались одинаковыми как минимум до октября 2024 года и использовали ряд усовершенствованных методов для избегания обнаружения:
- Автоматический взлом для предварительного заполнения адресов электронной почты жертв;
- Защита от Cloudflare;
- Механизмы защиты от отладчиков;
- Запутанный HTML и JavaScript;
- Фильтрация IP-адресов для перенаправления определенных посетителей.
Процесс фишинга включает несколько этапов: прохождение теста Cloudflare, создание фишинговых URL-адресов, выполнения процессов аутентификации и перенаправление жертв на поддельные страницы аутентификации Microsoft.
Связь с другими фишинговыми инструментами
Анализ исходного кода фишингового набора Sneaky 2FA показал его сходство с предыдущим набором W3LL Panel OV6, о котором сообщала Group-IB в 2023 году. Это свидетельствует о возможной связи между этими инструментами.
Операционная деятельность и модели продаж
Операторы Sneaky Log использовали Telegram-бота для рекламы и продажи своих фишинговых инструментов. Стоимость доступа к набору Sneaky 2FA составила 200 долларов в месяц. Для автоматизации процессов реклама и поддержка также использовался другой бот. Оплата принималась в нескольких криптовалютах с различными стратегиями управления адресами, чтобы скрыть платежные потоки.
Используемые домены и выявленные закономерности
Во время анализа были обнаружены многочисленные домены, используемые для фишинговых кампаний Sneaky 2FA. Некоторые из них были зарегистрированы клиентами сервиса, а другие были скомпрометированы. Эти домены показали закономерности, что позволило аналитикам осуществлять их отслеживание и обнаружение.
Влияние Sneaky 2FA на киберпреступность
К декабрю 2024 года набор Sneaky 2FA стал умеренно распространенным среди хакеров благодаря активным кампаниям и примерно сотне доменных имен. Меняющийся ландшафт киберпреступности, особенно в области фишинга AiTM и взлома деловой электронной почты (BEC), подчеркивает необходимость постоянного мониторинга новых угроз.
Таким образом, внедрение фишингового набора Sneaky 2FA подчеркивает сложность и эволюцию методик хакеров, а также важность проактивного анализа данных об угрозах и механизмов обнаружения для борьбы с такими вредоносными действиями.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новый фишинговый набор Sneaky 2FA: угроза Microsoft 365".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.