Siber güvenlik araştırmacıları, en az Ekim 2024’ten bu yana kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalmak amacıyla Microsoft 365 hesaplarına yönelik yeni bir ortadaki rakip (AitM) kimlik avı kitini ayrıntılı olarak açıkladı.
Yeni ortaya çıkan kimlik avı kiti, Aralık ayında vahşi doğada tespit edilen Fransız siber güvenlik şirketi Sekoia tarafından Sneaky 2FA olarak adlandırıldı. Bu ay itibarıyla Sinsi 2FA kimlik avı sayfalarını barındıran yaklaşık 100 alan belirlendi ve bu da tehdit aktörleri tarafından ılımlı düzeyde benimsendiğini gösteriyor.
Şirket, “Bu kit, Telegram’da tam özellikli bir bot aracılığıyla çalışan siber suç hizmeti ‘Sneaky Log’ tarafından hizmet olarak kimlik avı (PhaaS) olarak satılıyor.” dedi. söz konusu bir analizde. “Müşterilerin, kaynak kodunun lisanslı, gizlenmiş bir sürümüne erişim elde ettiği ve bunu bağımsız olarak dağıttığı bildiriliyor.”
Kimlik avı kampanyalarının, alıcıları tarama sonrasında onları Sneaky 2FA sayfalarına yönlendiren QR kodu içeren sahte PDF belgelerini açmaya ikna etmek için ödeme makbuzuyla ilgili e-postalar gönderdiği gözlemlendi.
Sekoia, kimlik avı sayfalarının, çoğunlukla WordPress web sitelerini ve saldırgan tarafından kontrol edilen diğer alanları içeren, güvenliği ihlal edilmiş bir altyapıda barındırıldığını söyledi. Sahte kimlik doğrulama sayfaları, meşruiyetini artırmak için kurbanın e-posta adresini otomatik olarak dolduracak şekilde tasarlanmıştır.
Kit ayrıca, yalnızca belirli kriterleri karşılayan kurbanların kimlik bilgisi toplama sayfalarına yönlendirilmesini sağlamak için trafik filtreleme ve Cloudflare Turnike zorlukları gibi teknikler kullanan çeşitli anti-bot ve anti-analiz önlemlerini de içeriyor. Ayrıca, web tarayıcısı geliştirici araçlarını kullanarak analiz girişimlerini tespit etmek ve bunlara direnmek için bir dizi kontrol gerçekleştirir.
PhaaS’ın dikkate değer bir yönü, IP adresi bir veri merkezi, bulut sağlayıcı, bot, proxy veya VPN’den gelen site ziyaretçilerinin href kullanılarak Microsoft ile ilgili bir Wikipedia sayfasına yönlendirilmeleridir.[.]li yönlendirme hizmeti. Bu davranış TRAC Laboratuvarlarının ona bu adı vermesine neden oldu. WikiKit.
Sekoia, “Sneaky 2FA kimlik avı kiti, sahte Microsoft kimlik doğrulama sayfalarının arka planı olarak çok sayıda bulanık görüntü kullanıyor” diye açıkladı. “Meşru Microsoft arayüzlerinin ekran görüntülerini kullanan bu taktiğin amacı, bulanık içeriğe erişim sağlamak için kullanıcıları kendi kimliklerini doğrulamaya yönlendirmektir.”
Daha ayrıntılı araştırmalar, kimlik avı kitinin aboneliğin aktif olduğundan emin olmak için merkezi bir sunucuyla (muhtemelen operatörle) yapılan bir kontrole dayandığını ortaya çıkardı. Bu, Sneaky 2FA’yı yalnızca geçerli bir lisans anahtarına sahip müşterilerin kimlik avı kampanyaları yürütmek için kullanabileceğini gösterir. Kitin reklamı ayda 200$’dır.
Hepsi bu değil. Kaynak kodu referansları da, daha önce Eylül 2023’te Group-IB tarafından W3LL Panel adlı bir kimlik avı kitinin ve iş e-postası ihlali (BEC) saldırıları gerçekleştirmek için çeşitli araçların arkasında olduğu ifşa edilen W3LL Store adlı bir kimlik avı örgütüne işaret eden şekilde ortaya çıkarıldı.
Bu, AitM geçiş uygulamasındaki benzerliklerin yanı sıra Sneaky 2FA’nın W3LL Panelini temel alma olasılığını da artırdı. İkincisi ayrıca merkezi bir sunucuyla periyodik kontroller gerektiren benzer bir lisanslama modeli altında çalışır.
Sekoia araştırmacısı Grégoire Clermont, The Hacker News’e, bu örtüşmelere rağmen Sneaky 2FA’nın W3LL Panel’in halefi olarak görülemeyeceğini, çünkü W3LL Panel’in arkasındaki tehdit aktörlerinin hala aktif olarak kendi kimlik avı kitlerini geliştirip sattığını söyledi.
Clermont, “Sneaky 2FA, W3LL OV6’daki birkaç kod parçasını yeniden kullanan yeni bir kittir” dedi. “Hizmetin müşterileri, kendi sunucularında barındırmak üzere karartılmış kodlardan oluşan bir arşiv aldıkları için, bu kaynak kodunun elde edilmesi çok da zor değil. W3LL’nin çeşitli gizliliği kaldırılmış/kırılmış versiyonları geçtiğimiz yıllarda dolaşıma sokuldu.”
İlginç bir şekilde, Sneaky 2FA etki alanlarından bazıları daha önce Evilginx2 ve Greatness gibi bilinen AitM kimlik avı kitleriyle ilişkilendirilmişti; bu, en az birkaç siber suçlunun yeni hizmete geçtiğinin bir göstergesi.
Sekoia araştırmacıları, “Kimlik avı kiti, kimlik doğrulama akışının adımına bağlı olarak HTTP istekleri için farklı sabit kodlu Kullanıcı Aracısı dizeleri kullanıyor” dedi. “Bu davranış, yasal kullanıcı kimlik doğrulamasında nadir görülen bir durumdur, çünkü bir kullanıcının farklı web tarayıcılarından kimlik doğrulama adımlarını birbirini takip etmesi gerekir.”
“Kullanıcı Aracısı geçişleri zaman zaman meşru durumlarda gerçekleşse de (örneğin, bir web tarayıcısını başlatan masaüstü uygulamalarında veya MFA’yı yönetmek için Web Görünümünde başlatılan kimlik doğrulama), Sneaky 2FA tarafından kullanılan Kullanıcı Aracılarının belirli sırası gerçekçi bir senaryoya karşılık gelmiyor, ve kitin yüksek doğrulukla tespit edilmesini sağlıyor.”
(Hikaye yayınlandıktan sonra Sekoia’dan gelen ek yanıtları içerecek şekilde güncellendi.)
