Heimtückisches 2FA-Phishing-Kit
Cybersicherheitsforscher haben ein ausgeklügeltes Adversary-in-the-Middle (AitM)-Phishing-Kit namens Sneaky 2FA entdeckt, das seit mindestens Oktober 2024 aktiv auf Microsoft 365-Konten abzielt. Dieses Kit ist darauf ausgelegt, Anmeldeinformationen und Zwei-Faktor-Authentifizierungscodes (2FA) abzufangen und bietet Bedrohungsakteuren ein leistungsstarkes Tool zum Kompromitieren von Konten.
Inhaltsverzeichnis
Weite Verbreitung und Funktionen der hinterhältigen 2FA
Es wurden fast 100 Domänen identifiziert, die Sneaky 2FA-Phishing-Seiten hosten, was auf eine moderate Verbreitung unter Cyberkriminellen hindeutet. Dieses Kit wird von einer Gruppe namens Sneaky Log als Phishing-as-a-Service (PhaaS) verkauft und über einen funktionsreichen Telegram-Bot verteilt. Kunden erhalten eine verschleierte Version des Quellcodes, sodass sie ihn unabhängig einsetzen können.
Phishing-Kampagnen zielen auf Opfer ab
Es wurde beobachtet, dass Kampagnen, die Sneaky 2FA nutzen, gefälschte E-Mails mit Zahlungsbelegen und PDF-Anhängen versenden. Diese PDFs enthalten QR-Codes, die die Opfer beim Scannen auf Phishing-Seiten umleiten, die Microsoft 365-Anmeldeportale imitieren. Diese Seiten werden auf kompromittierter Infrastruktur gehostet, beinhalten oft WordPress-Websites und füllen automatisch die E-Mail-Adressen der Opfer aus, um die Legitimität zu erhöhen.
Robuste Ausweich- und Anti-Analyse-Taktiken
Sneaky 2FA verwendet fortschrittliche Anti-Bot- und Anti-Analyse-Techniken. Es filtert den Datenverkehr und verwendet Cloudflare Turnstile-Herausforderungen, um den Zugriff auf seine Seiten zum Sammeln von Anmeldeinformationen einzuschränken. Das Kit führt auch Prüfungen durch, um eine Überprüfung durch Entwicklertools von Webbrowsern zu erkennen und zu verhindern. Besucher von Rechenzentren, Proxys oder VPNs werden über den Dienst href.li auf eine Microsoft-bezogene Wikipedia-Seite umgeleitet, was dem Kit den Spitznamen WikiKit von TRAC Labs einbrachte.
Irreführende visuelle Elemente, um Benutzer in die Irre zu führen
Um seine Authentizität zu erhöhen, integriert Sneaky 2FA verschwommene Bilder legitimer Microsoft-Benutzeroberflächen als Hintergrund auf seinen gefälschten Anmeldeseiten. Diese Taktik zielt darauf ab, Benutzer dazu zu verleiten, ihre Anmeldeinformationen einzugeben, da sie glauben, sie würden auf echte Microsoft-Inhalte zugreifen.
Lizenzierung und Links zum W3LL Store
Für die Funktion des Sneaky 2FA-Kits ist ein aktives Abonnement erforderlich, wobei die Lizenzschlüsselüberprüfung über einen zentralen Server erfolgt. Der Service wird für 200 US-Dollar pro Monat angeboten und bietet exklusiven Zugriff auf seine Funktionen. Untersuchungen haben auch Verbindungen zum W3LL Store aufgedeckt, einem Phishing-Syndikat, das zuvor mit dem W3LL-Panel und Tools in Verbindung gebracht wurde, die bei Angriffen auf Business-E-Mail-Kompromittierung (BEC) verwendet wurden. Obwohl Sneaky 2FA einige Codes und Techniken mit dem W3LL-Panel gemeinsam hat, glauben die Forscher, dass es kein direkter Nachfolger ist.
Eine Geschichte der Code-Wiederverwendung und -Migration
Interessanterweise scheinen Teile der Codebasis von Sneaky 2FA von W3LL OV6 übernommen zu sein, wobei in den letzten Jahren entschlüsselte Versionen davon unter Cyberkriminellen im Umlauf waren. Einige Sneaky 2FA-Domänen wurden zuvor mit AitM-Kits wie Evilginx2 und Greatness in Verbindung gebracht, was darauf hindeutet, dass einige Angreifer den neuen Dienst nutzen.
Ungewöhnliches User-Agent-Verhalten: Ein Warnsignal
Eines der auffälligsten Merkmale von Sneaky 2FA ist die Verwendung verschiedener fest codierter User-Agent-Zeichenfolgen während des Authentifizierungsprozesses. Während solche Übergänge in legitimen Szenarien auftreten können (z. B. beim Wechseln zwischen Desktop-Apps und Webbrowsern), ist die von Sneaky 2FA verwendete spezifische Sequenz höchst unregelmäßig. Diese Anomalie bietet eine zuverlässige Möglichkeit, das Kit in Aktion zu erkennen.
Fazit: Eine wachsende Bedrohung in der Cyberkriminalitätslandschaft
Sneaky 2FA stellt eine Weiterentwicklung von Phishing-Tools dar und kombiniert fortschrittliche Ausweichtaktiken, Benutzertäuschung und ein PhaaS-Modell, um Cyberkriminellen entgegenzukommen. Seine Einführung unterstreicht die sich ständig ändernde Natur von Online-Bedrohungen und die Ernsthaftigkeit, gegenüber ausgeklügelten Phishing-Kampagnen wachsam zu bleiben.
