Novo kit de phishing ‘Sneaky 2FA’ tem como alvo contas do Microsoft 365 com desvio de código 2FA

Sticky 17/01/2025
2FA
Visualizações: 3

Pesquisadores de segurança cibernética detalharam um novo kit de phishing adversário no meio (AitM) capaz de invadir contas do Microsoft 365 com o objetivo de roubar credenciais e códigos de autenticação de dois fatores (2FA) desde pelo menos outubro de 2024.

O kit de phishing nascente foi apelidado de Sneaky 2FA pela empresa francesa de segurança cibernética Sekoia, que o detectou em ação em dezembro. Quase 100 domínios hospedando páginas de phishing Sneaky 2FA foram identificados neste mês, sugerindo adoção moderada por agentes de ameaças.

“Este kit está sendo vendido como phishing-as-a-service (PhaaS) pelo serviço de crimes cibernéticos ‘Sneaky Log’, que opera por meio de um bot com todos os recursos no Telegram”, disse a empresa em uma análise. “Os clientes supostamente recebem acesso a uma versão ofuscada licenciada do código-fonte e a implantam de forma independente.”

Foram observadas campanhas de phishing enviando e-mails relacionados a recibos de pagamento para induzir os destinatários a abrir documentos PDF falsos contendo códigos QR que, após a digitalização, os redirecionam para páginas furtivas de 2FA.

Sekoia disse que as páginas de phishing são hospedadas em infraestrutura comprometida, envolvendo principalmente sites WordPress e outros domínios controlados pelo invasor. As páginas de autenticação falsas são projetadas para preencher automaticamente o endereço de e-mail da vítima para elevar sua legitimidade.

O kit também ostenta várias medidas anti-bot e anti-análise, empregando técnicas como filtragem de tráfego e desafios Cloudflare Turnstile para garantir que apenas vítimas que atendem a certos critérios sejam direcionadas para as páginas de coleta de credenciais. Ele ainda executa uma série de verificações para detectar e resistir a tentativas de análise usando ferramentas de desenvolvedor de navegador da web.

Um aspecto notável do PhaaS é que os visitantes do site cujo endereço IP se origina de um data center, provedor de nuvem, bot, proxy ou VPN são direcionados para uma página da Wikipedia relacionada à Microsoft usando o serviço de redirecionamento href[.]li. Isso levou o TRAC Labs a dar a ele o nome WikiKit .

“O kit de phishing Sneaky 2FA emprega várias imagens desfocadas como plano de fundo para suas páginas falsas de autenticação da Microsoft”, explicou Sekoia. “Ao usar capturas de tela de interfaces legítimas da Microsoft, essa tática tem a intenção de enganar os usuários para que se autentiquem para obter acesso ao conteúdo desfocado.”

Captura de tela 2025 01 17 095517

Investigações posteriores revelaram que o kit de phishing depende de uma verificação com um servidor central, provavelmente a operadora, que garante que a assinatura esteja ativa. Isso indica que apenas clientes com uma chave de licença válida podem usar o Sneaky 2FA para conduzir campanhas de phishing. O kit é anunciado por US$ 200 por mês.

Isso não é tudo. Referências de código-fonte também foram descobertas apontando para um sindicato de phishing chamado W3LL Store , que foi exposto anteriormente pelo Group-IB em setembro de 2023 como estando por trás de um kit de phishing chamado W3LL Panel e várias ferramentas para conduzir ataques de comprometimento de e-mail comercial (BEC).

Isso, junto com similaridades na implementação do relay AitM, também levantou a possibilidade de que o Sneaky 2FA possa ser baseado no W3LL Panel. Este último também opera sob um modelo de licenciamento similar que requer verificações periódicas com um servidor central.

Em uma reviravolta interessante, alguns dos domínios do Sneaky 2FA foram anteriormente associados a kits de phishing AitM conhecidos, como Evilginx2 e Greatness – uma indicação de que pelo menos alguns criminosos cibernéticos migraram para o novo serviço.

“O kit de phishing usa diferentes sequências de caracteres User-Agent codificadas para as solicitações HTTP, dependendo da etapa do fluxo de autenticação”, disseram os pesquisadores da Sekoia. “Esse comportamento é raro na autenticação legítima de usuários, pois um usuário teria que executar etapas sucessivas da autenticação em diferentes navegadores da web.”

“Embora as transições de User-Agent aconteçam ocasionalmente em situações legítimas (por exemplo, autenticação iniciada em aplicativos de desktop que iniciam um navegador da Web ou WebView para lidar com MFA), a sequência específica de User-Agents usada pelo Sneaky 2FA não corresponde a um cenário realista e oferece uma detecção de alta fidelidade do kit.”

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

phishing LabHost

Operação policial Global interrompe serviço de phishing ‘LabHost’, mais de 30 presos em todo o mundo.

Sticky 01/10/2024

Cerca de 37 pessoas foram presas como parte de uma repressão internacional a um serviço de crimes cibernéticos chamado LabHost , que tem sido usado por criminosos para roubar credenciais pessoais de vítimas ao redor do mundo. Descrito como um dos maiores provedores de Phishing-as-a-Service ( PhaaS ), o LabHost oferecia páginas de phishing direcionadas a bancos, organizações de […]

phishing

Ferramentas gratuitas de phishing do Sniper Dz alimentam mais de 140.000 ataques cibernéticos direcionados a credenciais de usuários

Sticky 01/10/2024

Mais de 140.000 sites de phishing foram encontrados vinculados a uma plataforma de phishing como serviço (PhaaS) chamada Sniper Dz no ano passado, indicando que ela está sendo usada por um grande número de criminosos cibernéticos para realizar roubo de credenciais. “Para possíveis phishers, o Sniper Dz oferece um painel de administração online com um […]