Menu dostępności

Sneaky 2FA – zestaw narzędzi do kradzieży kont Microsoft 365

Sneaky 2FA – zestaw narzędzi do kradzieży kont Microsoft 365

Specjaliści cyberbezpieczeństwa z francuskiej firmy Sekoia opisali nowy zestaw hakerskich narzędzi typu adversary-in-the-middle (AitM), który jest w stanie wykradać konta Microsoft 365. Wykorzystywane techniki skupiają się tutaj na przechwytywaniu poświadczeń i kodów 2FA. Stąd też nazwa narzędzia – Sneaky 2FA.

Same ataki pojawiały się sporadycznie w środowisku naturalnym począwszy od października zeszłego roku, jednak firma Sekoia zdecydowała się opisać malware w grudniu, podczas największego wzrostu ataków. W tym właśnie miesiącu zidentyfikowano prawie 100 domen hostujących strony phishingowe Sneaky 2FA.

„Opisywany zestaw narzędzi jest sprzedawany jako phishing-as-a-service (PhaaS) przez usługę hakerską o nazwie Sneaky Log, która działa za pośrednictwem w pełni funkcjonalnego bota na Telegramie” – podała firma w analizie. „Klienci usługi otrzymują podobno dostęp do licencjonowanej zaciemnionej wersji kodu źródłowego i wdrażają ją samodzielnie”.

W ostatnim czasie zaobserwowano kampanie phishingowe, w ramach których wysyłano e-maile z fałszywymi potwierdzeniami płatności, aby zachęcić odbiorców do otwierania dokumentów PDF zawierających kod QR. Ten po zeskanowaniu przekierowuje na złośliwe strony z 2FA. Jest to podstawowy, początkowy wektor ataku.

Sekoia stwierdziła, że ​​strony phishingowe są hostowane w zainfekowanej infrastrukturze, obejmującej głównie witryny WordPress i inne domeny kontrolowane przez atakującego. Fałszywe strony uwierzytelniające są zaprojektowane tak, aby automatycznie wypełniać adres e-mail ofiary w celu podniesienia wiarygodności.

Sneaky 2FA może pochwalić się również kilkoma środkami antybotowymi i antyanalitycznymi, wykorzystującymi techniki takie jak filtrowanie ruchu i challenge Cloudflare Turnstile. Dzięki temu tylko ofiary spełniające określone kryteria są kierowane na strony zbierające dane uwierzytelniające. Ponadto malware przeprowadza serię kontroli w celu wykrywania prób analizy i opierania się im za pomocą narzędzi programistycznych z przeglądarek internetowych.

Wartym uwagi aspektem PhaaS jest to, że odwiedzający witrynę, których adres IP pochodzi z centrum danych, dostawcy chmury, bota, serwera proxy lub sieci VPN, są kierowani na stronę Wikipedii związaną z Microsoftem za pomocą usługi przekierowywania href[.]li.

„Zestaw phishingowy Sneaky 2FA wykorzystuje kilka rozmytych obrazów jako tło dla swoich fałszywych stron uwierzytelniania” – wyjaśniła Sekoia. „Ta taktyka ma na celu nakłonienie użytkowników do uwierzytelnienia kontem M365, wykorzystując zrzuty ekranu legalnych interfejsów Microsoft”.

Źródło: blog.sekoia.io; zamazane obrazy z usług Microsoft nakłaniające do uwierzytelnienia

Dalsze dochodzenie wykazało, że zestaw phishingowy opiera się na sprawdzeniu aktywnej licencji na centralnym serwerze, prawdopodobnie u operatora całego malware. Oznacza to, że tylko klienci z ważnym kluczem licencyjnym mogą używać Sneaky 2FA do przeprowadzania kampanii phishingowych. Zestaw jest reklamowany za 200 USD miesięcznie.

Ciekawy jest dodatkowo fakt, że niektóre domeny Sneaky 2FA były wcześniej powiązane ze znanymi zestawami phishingowymi AitM, takimi jak Evilginx2 i Greatness – wskazuje to, że przynajmniej kilku cyberprzestępców przeszło na nową usługę.

„Zestaw phishingowy używa różnych zakodowanych na stałe ciągów user-agent dla żądań HTTP w zależności od etapu przepływu uwierzytelniania” – powiedzieli badacze z Sekoi. „Takie zachowanie jest rzadkie w przypadku legalnego uwierzytelniania użytkownika, gdyż musiałby on wykonywać kolejne kroki z różnych przeglądarek internetowych”.

Chociaż przejścia user-agenta występują czasami w rzeczywistych operacjach (np. uwierzytelnianie inicjowane w aplikacjach mobilnych, które uruchamiają przeglądarkę internetową w celu obsługi MFA), konkretna sekwencja user-agent używana przez Sneaky 2FA nie odpowiada realistycznemu scenariuszowi i dzięki temu zapewnia wysoką dokładność wykrywania tego ataku w systemach bezpieczeństwa.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...