Los investigadores de ciberseguridad han detallado un nuevo kit de phishing de adversario en el medio (AitM) que es capaz de acceder a cuentas de Microsoft 365 con el objetivo de robar credenciales y códigos de autenticación de dos factores (2FA) desde al menos octubre de 2024.
El naciente kit de phishing ha sido denominado Sneaky 2FA por la empresa francesa de ciberseguridad Sekoia, que lo detectó en estado salvaje en diciembre. Hasta este mes se han identificado casi 100 dominios que albergan páginas de phishing Sneaky 2FA, lo que sugiere una adopción moderada por parte de los actores de amenazas.
«Este kit se vende como phishing como servicio (PhaaS) por el servicio de cibercrimen ‘Sneaky Log’, que opera a través de un bot con todas las funciones en Telegram», dijo la compañía. dicho en un análisis. «Según se informa, los clientes reciben acceso a una versión ofuscada con licencia del código fuente y la implementan de forma independiente».
Se han observado campañas de phishing que envían correos electrónicos relacionados con recibos de pago para incitar a los destinatarios a abrir documentos PDF falsos que contienen códigos QR que, al escanearlos, los redireccionan a páginas Sneaky 2FA.
Sekoia dijo que las páginas de phishing están alojadas en una infraestructura comprometida, en su mayoría involucrando sitios web de WordPress y otros dominios controlados por el atacante. Las páginas de autenticación falsas están diseñadas para completar automáticamente la dirección de correo electrónico de la víctima para elevar su legitimidad.
El kit también cuenta con varias medidas anti-bot y anti-análisis, empleando técnicas como filtrado de tráfico y desafíos Cloudflare Turnstile para garantizar que solo las víctimas que cumplan con ciertos criterios sean dirigidas a las páginas de recolección de credenciales. Además, ejecuta una serie de comprobaciones para detectar y resistir intentos de análisis utilizando herramientas de desarrollo de navegadores web.
Un aspecto notable de PhaaS es que los visitantes del sitio cuya dirección IP se origina en un centro de datos, proveedor de nube, bot, proxy o VPN son dirigidos a una página de Wikipedia relacionada con Microsoft utilizando el código href.[.]servicio de redirección li. Esto ha llevado a TRAC Labs a darle el nombre WikiKit.
«El kit de phishing Sneaky 2FA emplea varias imágenes borrosas como fondo para sus páginas falsas de autenticación de Microsoft», explicó Sekoia. «Al utilizar capturas de pantalla de interfaces legítimas de Microsoft, esta táctica tiene como objetivo engañar a los usuarios para que se autentiquen y obtengan acceso al contenido borroso».
Investigaciones más profundas han revelado que el kit de phishing se basa en una verificación con un servidor central, probablemente el operador, que garantiza que la suscripción esté activa. Esto indica que sólo los clientes con una clave de licencia válida pueden utilizar Sneaky 2FA para realizar campañas de phishing. El kit se anuncia por $200 por mes.
Eso no es todo. También se han descubierto referencias al código fuente que apuntan a un sindicato de phishing llamado Tienda W3LLque Group-IB expuso anteriormente en septiembre de 2023 como detrás de un kit de phishing llamado W3LL Panel y varias herramientas para realizar ataques de compromiso de correo electrónico empresarial (BEC).
Esto, junto con las similitudes en la implementación del relé AitM, también ha planteado la posibilidad de que Sneaky 2FA pueda estar basado en el Panel W3LL. Este último también opera bajo un modelo de licencia similar que requiere controles periódicos con un servidor central.
En un giro interesante, algunos de los dominios Sneaky 2FA se asociaron anteriormente con kits de phishing AitM conocidos, como malginx2 y Grandeza – una indicación de que al menos algunos ciberdelincuentes han migrado al nuevo servicio.
«El kit de phishing utiliza diferentes cadenas de User-Agent codificadas para las solicitudes HTTP dependiendo del paso del flujo de autenticación», dijeron los investigadores de Sekoia. «Este comportamiento es poco común en la autenticación de usuarios legítimos, ya que un usuario tendría que realizar pasos sucesivos de autenticación desde diferentes navegadores web».
«Si bien las transiciones de User-Agent ocurren ocasionalmente en situaciones legítimas (por ejemplo, autenticación iniciada en aplicaciones de escritorio que inician un navegador web o WebView para manejar MFA), la secuencia específica de User-Agents utilizada por Sneaky 2FA no corresponde a un escenario realista. y ofrece una detección de alta fidelidad del kit».