Pesquisadores de cibersegurança detalharam um novo kit de phishing do tipo adversary-in-the-middle (AitM) capaz de mirar em contas do Microsoft 365 com o objetivo de roubar credenciais e códigos de autenticação de dois fatores (2FA) desde pelo menos outubro de 2024.
O kit de phishing, ainda em estágios iniciais, foi batizado de Sneaky 2FA pela empresa francesa de cibersegurança Sekoia, que o detectou "na natureza" em dezembro.
Quase 100 domínios hospedando páginas de phishing Sneaky 2FA foram identificados até este mês, sugerindo uma adoção moderada por parte de atores de ameaças.
"Este kit está sendo vendido como phishing-as-a-service (PhaaS) pelo serviço de cibercrime 'Sneaky Log', que opera por meio de um bot completo no Telegram," afirmou a empresa em uma análise.
Os clientes supostamente recebem acesso a uma versão licenciada e obfuscada do código-fonte e o implantam de forma independente.
Campanhas de phishing foram observadas enviando e-mails relacionados a recibos de pagamento para atrair os destinatários a abrir documentos PDF falsos contendo um código QR que, ao ser escaneado, redireciona-os para as páginas do Sneaky 2FA.
A Sekoia informou que as páginas de phishing estão hospedadas em infraestrutura comprometida, envolvendo principalmente sites WordPress e outros domínios controlados pelo atacante.
As páginas falsas de autenticação são projetadas para preencher automaticamente o endereço de e-mail da vítima para elevar sua legitimidade.
O kit também se destaca por várias medidas anti-bot e anti-análise, empregando técnicas como filtragem de tráfego e desafios do Cloudflare Turnstile para garantir que apenas vítimas que atendam a certos critérios sejam direcionadas às páginas de coleta de credenciais.
Ele também executa uma série de verificações para detectar e resistir a tentativas de análise usando ferramentas de desenvolvedor de navegadores web.
Um aspecto notável do PhaaS é que visitantes do site cujo endereço IP origina-se de um data center, provedor de nuvem, bot, proxy ou VPN são direcionados para uma página da Wikipedia relacionada à Microsoft usando o serviço de redirecionamento href[.]li.
Isso levou os laboratórios TRAC a dar a ele o nome de WikiKit.
"O kit de phishing Sneaky 2FA emprega várias imagens desfocadas como fundo para suas falsas páginas de autenticação da Microsoft," explicou a Sekoia.
Ao usar capturas de tela de interfaces legítimas da Microsoft, essa tática tem a intenção de enganar os usuários para que se autentiquem para ganhar acesso ao conteúdo desfocado.
Investigações posteriores revelaram que o kit de phishing depende de uma verificação com um servidor central, provavelmente o operador, que garante que a assinatura esteja ativa.
Isso indica que apenas clientes com uma chave de licença válida podem usar o Sneaky 2FA para conduzir campanhas de phishing.
O kit é anunciado por $200 por mês.
Não é só isso:
Referências no código-fonte também foram descobertas apontando para um sindicato de phishing chamado W3LL Store, que anteriormente foi exposto pelo Group-IB em setembro de 2023 como por trás de um kit de phishing chamado W3LL Panel e várias ferramentas para conduzir ataques de comprometimento de e-mail empresarial (BEC).
Isso, juntamente com semelhanças na implementação de AitM relay, também levantou a possibilidade de que o Sneaky 2FA possa ser baseado no W3LL Panel.
Este último também opera sob um modelo de licenciamento similar que requer verificações periódicas com um servidor central.
Em uma reviravolta interessante, alguns dos domínios Sneaky 2FA foram previamente associados a kits de phishing AitM conhecidos, como Evilginx2 e Greatness – uma indicação de que pelo menos alguns cibercriminosos migraram para o novo serviço.
"O kit de phishing usa diferentes strings de User-Agent codificadas para as solicitações HTTP dependendo da etapa do fluxo de autenticação," disseram os pesquisadores da Sekoia.
Este comportamento é raro em autenticação de usuário legítima, já que um usuário teria que realizar etapas sucessivas de autenticação de diferentes navegadores web.
Embora transições de User-Agent ocasionalmente aconteçam em situações legítimas (por exemplo, autenticação iniciada em aplicativos de desktop que lançam um navegador web ou WebView para lidar com MFA), a sequência específica de User-Agents usada pelo Sneaky 2FA não corresponde a um cenário realista e oferece uma detecção de alta-fidelidade do kit.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...