Фишинг как услуга: угроза Sneaky2FA и её последствия

Источник: www.esentire.com
В начале февраля 2025 года специалисты подразделения eSentire по реагированию на угрозы (TRU) обнаружили новую фишинговую атаку, связанную с набором Sneaky2FA. Этот инструмент работает по принципу «Фишинг как услуга» (PhaaS) и нацелен на учетные записи Office 365, обходя двухфакторную аутентификацию (2FA) за счет перехвата сеансовых файлов cookie.
Обзор угрозы
Набор Sneaky2FA распространяется пользователем с ником «Vanyaon» на различных хакерских платформах и стоит от 150 долларов в месяц. Атака обычно начинается с того, что жертва получает спам-сообщение с ссылкой на фишинговый PDF-файл в OneDrive. При клике на ссылку пользователь перенаправляется на страницу для входа в Office 365.
Известный URL, связанный с этим набором, выглядит как: hxxps://secure.toitoiiusa.com/.
Технические детали атаки
Sneaky2FA использует несколько методов для маскировки своей активности:
- Использование Cloudflare Turnstile и Google reCAPTCHA для отпугивания сканеров и ботов, что затрудняет обнаружение атаки.
- Применение размытых фоновых изображений для дополнительной маскировки.
При взаимодействии с фишинговым HTML-кодом на конечной точке /index извлекается поддельная форма входа. Впоследствии HTTP-запросы GET к конечной точке /verify помогают операторам собирать данные.
Методы атаки и их последствия
Если домен электронной почты жертвы принадлежит бизнесу и 2FA не активирована, жертва перенаправляется на страницу с допустимой ошибкой Office 365, что затрудняет раннее обнаружение фишинга.
После успешного перехвата кода 2FA операторы отправляют HTTP POST-запросы к конечной точке /validate, что позволяет им получать сеансовые файлы cookie для доступа к скомпрометированным учетным записям. Эти злоумышленники часто используют украденные сеансовые файлы cookie для установления контроля над учетными записями, включая добавление методов многофакторной аутентификации.
Анонимность и инфраструктура
Операторы намеренно маскируют свою деятельность с помощью VPN и прокси-сервисов, размещенных на таких платформах, как Digital Ocean и Private Internet Access. Были отслежены несколько внешних IP-адресов, связанных с операциями Sneaky2FA, что указывает на их обширную инфраструктуру.
Специалисты отметили, что злоумышленники выбирают хостинг-провайдеров, обеспечивающих анонимность, что усложняет процесс отслеживания и принятия мер по смягчению последствий.
Заключение
Усовершенствование инфраструктуры и методов отслеживания фишинговых наборов имеют решающее значение для защиты организаций от таких изощренных атак, особенно тех, что используют уязвимости в системах двухфакторной аутентификации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



