Фишинг как услуга: угроза Sneaky2FA и её последствия

Фишинг как услуга: угроза Sneaky2FA и её последствия

Источник: www.esentire.com

В начале февраля 2025 года специалисты подразделения eSentire по реагированию на угрозы (TRU) обнаружили новую фишинговую атаку, связанную с набором Sneaky2FA. Этот инструмент работает по принципу «Фишинг как услуга» (PhaaS) и нацелен на учетные записи Office 365, обходя двухфакторную аутентификацию (2FA) за счет перехвата сеансовых файлов cookie.

Обзор угрозы

Набор Sneaky2FA распространяется пользователем с ником «Vanyaon» на различных хакерских платформах и стоит от 150 долларов в месяц. Атака обычно начинается с того, что жертва получает спам-сообщение с ссылкой на фишинговый PDF-файл в OneDrive. При клике на ссылку пользователь перенаправляется на страницу для входа в Office 365.

Известный URL, связанный с этим набором, выглядит как: hxxps://secure.toitoiiusa.com/.

Технические детали атаки

Sneaky2FA использует несколько методов для маскировки своей активности:

  • Использование Cloudflare Turnstile и Google reCAPTCHA для отпугивания сканеров и ботов, что затрудняет обнаружение атаки.
  • Применение размытых фоновых изображений для дополнительной маскировки.

При взаимодействии с фишинговым HTML-кодом на конечной точке /index извлекается поддельная форма входа. Впоследствии HTTP-запросы GET к конечной точке /verify помогают операторам собирать данные.

Методы атаки и их последствия

Если домен электронной почты жертвы принадлежит бизнесу и 2FA не активирована, жертва перенаправляется на страницу с допустимой ошибкой Office 365, что затрудняет раннее обнаружение фишинга.

После успешного перехвата кода 2FA операторы отправляют HTTP POST-запросы к конечной точке /validate, что позволяет им получать сеансовые файлы cookie для доступа к скомпрометированным учетным записям. Эти злоумышленники часто используют украденные сеансовые файлы cookie для установления контроля над учетными записями, включая добавление методов многофакторной аутентификации.

Анонимность и инфраструктура

Операторы намеренно маскируют свою деятельность с помощью VPN и прокси-сервисов, размещенных на таких платформах, как Digital Ocean и Private Internet Access. Были отслежены несколько внешних IP-адресов, связанных с операциями Sneaky2FA, что указывает на их обширную инфраструктуру.

Специалисты отметили, что злоумышленники выбирают хостинг-провайдеров, обеспечивающих анонимность, что усложняет процесс отслеживания и принятия мер по смягчению последствий.

Заключение

Усовершенствование инфраструктуры и методов отслеживания фишинговых наборов имеют решающее значение для защиты организаций от таких изощренных атак, особенно тех, что используют уязвимости в системах двухфакторной аутентификации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: