- 14,888
- 22
- 8 Ноя 2022
Microsoft 365 оказался под прицелом нового хакерского инструмента.
Исследователи в области кибербезопасности раскрыли новый фишинговый инструмент типа Adversary-in-the-Middle ( AitM ), который нацелен на учётные записи Microsoft 365 и способен красть учётные данные и коды двухфакторной аутентификации ( 2FA ). Этот инструмент, получивший название Sneaky 2FA, активно используется с октября 2024 года.
Французская компания Sekoia впервые Для просмотра ссылки Войдиили Зарегистрируйся этого фишингового комплекта в декабре и выявила около 100 доменов, связанных с его использованием. Средний уровень распространения свидетельствует о том, что инструмент пользуется спросом среди киберпреступников.
Sneaky 2FA распространяется как услуга по модели фишинга как сервиса ( PhaaS ) через сервис Sneaky Log, работающий в Telegram. Покупатели получают обфусцированную версию исходного кода с лицензией, что позволяет самостоятельно развёртывать инструмент для фишинговых атак.
Одной из схем атак является рассылка электронных писем с ложными квитанциями об оплате. Получателей просят открыть вложенные PDF-файлы с QR-кодами, которые при сканировании перенаправляют на поддельные страницы аутентификации.
Sekoia сообщает, что такие страницы размещаются на скомпрометированных серверах, часто на базе WordPress или других управляемых доменах. Для повышения правдоподобия на поддельных страницах автоматически заполняется адрес электронной почты жертвы. Инструмент также защищён от анализа и ботов, применяя такие методы, как фильтрация трафика и проверка Cloudflare Turnstile.
Интересной деталью является переадресация посетителей с подозрительными IP-адресами (например, из облачных дата-центров или через VPN) на страницу Wikipedia, связанную с Microsoft. Этот подход Для просмотра ссылки Войдиили Зарегистрируйся WikiKit от исследователей TRAC Labs.
Для обмана пользователей инструмент использует размытую графику, копируя интерфейсы Microsoft, что создаёт иллюзию подлинности. Проверки лицензии на сервере подтверждают, что комплект доступен только клиентам с активным ключом, стоимость которого составляет $200 в месяц.
Также было обнаружено, что Sneaky 2FA может быть связан с известным фишинговым комплектом W3LL Panel, Для просмотра ссылки Войдиили Зарегистрируйся Group-IB. Схожая модель лицензирования и особенности передачи данных указывают на связь этих инструментов.
Дополнительно выявлено, что несколько доменов Sneaky 2FA ранее использовались с другими известными фишинговыми комплектами, такими как Evilginx2 и Greatness. Это подтверждает переход некоторых киберпреступников на новый сервис.
Sekoia также отмечает необычные переходы между User-Agent строками в ходе процесса аутентификации, что помогает выявлять использование Sneaky 2FA. Этот редкий паттерн отличает инструмент от легитимного взаимодействия, позволяя аналитикам идентифицировать хакерские атаки.
Исследователи в области кибербезопасности раскрыли новый фишинговый инструмент типа Adversary-in-the-Middle ( AitM ), который нацелен на учётные записи Microsoft 365 и способен красть учётные данные и коды двухфакторной аутентификации ( 2FA ). Этот инструмент, получивший название Sneaky 2FA, активно используется с октября 2024 года.
Французская компания Sekoia впервые Для просмотра ссылки Войди
Sneaky 2FA распространяется как услуга по модели фишинга как сервиса ( PhaaS ) через сервис Sneaky Log, работающий в Telegram. Покупатели получают обфусцированную версию исходного кода с лицензией, что позволяет самостоятельно развёртывать инструмент для фишинговых атак.
Одной из схем атак является рассылка электронных писем с ложными квитанциями об оплате. Получателей просят открыть вложенные PDF-файлы с QR-кодами, которые при сканировании перенаправляют на поддельные страницы аутентификации.
Sekoia сообщает, что такие страницы размещаются на скомпрометированных серверах, часто на базе WordPress или других управляемых доменах. Для повышения правдоподобия на поддельных страницах автоматически заполняется адрес электронной почты жертвы. Инструмент также защищён от анализа и ботов, применяя такие методы, как фильтрация трафика и проверка Cloudflare Turnstile.
Интересной деталью является переадресация посетителей с подозрительными IP-адресами (например, из облачных дата-центров или через VPN) на страницу Wikipedia, связанную с Microsoft. Этот подход Для просмотра ссылки Войди
Для обмана пользователей инструмент использует размытую графику, копируя интерфейсы Microsoft, что создаёт иллюзию подлинности. Проверки лицензии на сервере подтверждают, что комплект доступен только клиентам с активным ключом, стоимость которого составляет $200 в месяц.
Также было обнаружено, что Sneaky 2FA может быть связан с известным фишинговым комплектом W3LL Panel, Для просмотра ссылки Войди
Дополнительно выявлено, что несколько доменов Sneaky 2FA ранее использовались с другими известными фишинговыми комплектами, такими как Evilginx2 и Greatness. Это подтверждает переход некоторых киберпреступников на новый сервис.
Sekoia также отмечает необычные переходы между User-Agent строками в ходе процесса аутентификации, что помогает выявлять использование Sneaky 2FA. Этот редкий паттерн отличает инструмент от легитимного взаимодействия, позволяя аналитикам идентифицировать хакерские атаки.
- Источник новости
- www.securitylab.ru
