Pesquisadores de segurança cibernética detalharam um novo kit de phishing adversário no meio (AitM) capaz de invadir contas do Microsoft 365 com o objetivo de roubar credenciais e códigos de autenticação de dois fatores (2FA) desde pelo menos outubro de 2024.
O kit de phishing nascente foi apelidado de Sneaky 2FA pela empresa francesa de segurança cibernética Sekoia, que o detectou em ação em dezembro. Quase 100 domínios hospedando páginas de phishing Sneaky 2FA foram identificados neste mês, sugerindo adoção moderada por agentes de ameaças.
“Este kit está sendo vendido como phishing-as-a-service (PhaaS) pelo serviço de crimes cibernéticos ‘Sneaky Log’, que opera por meio de um bot com todos os recursos no Telegram”, disse a empresa em uma análise. “Os clientes supostamente recebem acesso a uma versão ofuscada licenciada do código-fonte e a implantam de forma independente.”
Foram observadas campanhas de phishing enviando e-mails relacionados a recibos de pagamento para induzir os destinatários a abrir documentos PDF falsos contendo códigos QR que, após a digitalização, os redirecionam para páginas furtivas de 2FA.
Sekoia disse que as páginas de phishing são hospedadas em infraestrutura comprometida, envolvendo principalmente sites WordPress e outros domínios controlados pelo invasor. As páginas de autenticação falsas são projetadas para preencher automaticamente o endereço de e-mail da vítima para elevar sua legitimidade.
O kit também ostenta várias medidas anti-bot e anti-análise, empregando técnicas como filtragem de tráfego e desafios Cloudflare Turnstile para garantir que apenas vítimas que atendem a certos critérios sejam direcionadas para as páginas de coleta de credenciais. Ele ainda executa uma série de verificações para detectar e resistir a tentativas de análise usando ferramentas de desenvolvedor de navegador da web.
Um aspecto notável do PhaaS é que os visitantes do site cujo endereço IP se origina de um data center, provedor de nuvem, bot, proxy ou VPN são direcionados para uma página da Wikipedia relacionada à Microsoft usando o serviço de redirecionamento href[.]li. Esse comportamento levou o TRAC Labs a dar a ele o nome WikiKit .
“O kit de phishing Sneaky 2FA emprega várias imagens desfocadas como plano de fundo para suas páginas falsas de autenticação da Microsoft”, explicou Sekoia. “Ao usar capturas de tela de interfaces legítimas da Microsoft, essa tática tem a intenção de enganar os usuários para que se autentiquem para obter acesso ao conteúdo desfocado.”
Investigações posteriores revelaram que o kit de phishing depende de uma verificação com um servidor central, provavelmente a operadora, que garante que a assinatura esteja ativa. Isso indica que apenas clientes com uma chave de licença válida podem usar o Sneaky 2FA para conduzir campanhas de phishing. O kit é anunciado por US$ 200 por mês.
Isso não é tudo. Referências de código-fonte também foram descobertas apontando para um sindicato de phishing chamado W3LL Store , que foi exposto anteriormente pelo Group-IB em setembro de 2023 como estando por trás de um kit de phishing chamado W3LL Panel e várias ferramentas para conduzir ataques de comprometimento de e-mail comercial (BEC).
Isso, junto com similaridades na implementação do relay AitM, também levantou a possibilidade de que o Sneaky 2FA possa ser baseado no W3LL Panel. Este último também opera sob um modelo de licenciamento similar que requer verificações periódicas com um servidor central.
O pesquisador da Sekoia, Grégoire Clermont, disse ao The Hacker News que, apesar dessas sobreposições, o Sneaky 2FA não pode ser considerado um sucessor do W3LL Panel, já que os agentes de ameaças por trás deste último ainda estão ativamente desenvolvendo e vendendo seu próprio kit de phishing.
“Sneaky 2FA é um novo kit que reutilizou alguns bits de código do W3LL OV6”, disse Clermont. “Esse código-fonte não é muito difícil de obter, pois os clientes do serviço recebem um arquivo de código ofuscado para hospedar em seus próprios servidores. Várias versões desofuscadas/crackeadas do W3LL circularam nos últimos anos.”
Em uma reviravolta interessante, alguns dos domínios do Sneaky 2FA foram anteriormente associados a kits de phishing AitM conhecidos, como Evilginx2 e Greatness – uma indicação de que pelo menos alguns criminosos cibernéticos migraram para o novo serviço.
“O kit de phishing usa diferentes sequências de caracteres User-Agent codificadas para as solicitações HTTP, dependendo da etapa do fluxo de autenticação”, disseram os pesquisadores da Sekoia. “Esse comportamento é raro na autenticação legítima de usuários, pois um usuário teria que executar etapas sucessivas da autenticação em diferentes navegadores da web.”
“Embora as transições de User-Agent aconteçam ocasionalmente em situações legítimas (por exemplo, autenticação iniciada em aplicativos de desktop que iniciam um navegador da Web ou WebView para lidar com MFA), a sequência específica de User-Agents usada pelo Sneaky 2FA não corresponde a um cenário realista e oferece uma detecção de alta fidelidade do kit.”