Foram observadas campanhas de phishing enviando e-mails relacionados a recibos de pagamento para induzir os destinat\u00e1rios a abrir documentos PDF falsos contendo c\u00f3digos QR que, ap\u00f3s a digitaliza\u00e7\u00e3o, os redirecionam para p\u00e1ginas furtivas de 2FA.<\/p>\n\n\n\n
Sekoia disse que as p\u00e1ginas de phishing s\u00e3o hospedadas em infraestrutura comprometida, envolvendo principalmente sites WordPress e outros dom\u00ednios controlados pelo invasor. As p\u00e1ginas de autentica\u00e7\u00e3o falsas s\u00e3o projetadas para preencher automaticamente o endere\u00e7o de e-mail da v\u00edtima para elevar sua legitimidade.<\/p>\n\n\n\n
O kit tamb\u00e9m ostenta v\u00e1rias medidas anti-bot e anti-an\u00e1lise, empregando t\u00e9cnicas como filtragem de tr\u00e1fego e desafios Cloudflare Turnstile para garantir que apenas v\u00edtimas que atendem a certos crit\u00e9rios sejam direcionadas para as p\u00e1ginas de coleta de credenciais. Ele ainda executa uma s\u00e9rie de verifica\u00e7\u00f5es para detectar e resistir a tentativas de an\u00e1lise usando ferramentas de desenvolvedor de navegador da web.<\/p>\n\n\n\n
Um aspecto not\u00e1vel do PhaaS \u00e9 que os visitantes do site cujo endere\u00e7o IP se origina de um data center, provedor de nuvem, bot, proxy ou VPN s\u00e3o direcionados para uma p\u00e1gina da Wikipedia relacionada \u00e0 Microsoft usando o servi\u00e7o de redirecionamento href[.]li. Esse comportamento levou o TRAC Labs a dar a ele o nome WikiKit<\/a> .<\/p>\n\n\n\n “O kit de phishing Sneaky 2FA emprega v\u00e1rias imagens desfocadas como plano de fundo para suas p\u00e1ginas falsas de autentica\u00e7\u00e3o da Microsoft”, explicou Sekoia. “Ao usar capturas de tela de interfaces leg\u00edtimas da Microsoft, essa t\u00e1tica tem a inten\u00e7\u00e3o de enganar os usu\u00e1rios para que se autentiquem para obter acesso ao conte\u00fado desfocado.”<\/p>\n\n\n Investiga\u00e7\u00f5es posteriores revelaram que o kit de phishing depende de uma verifica\u00e7\u00e3o com um servidor central, provavelmente a operadora, que garante que a assinatura esteja ativa. Isso indica que apenas clientes com uma chave de licen\u00e7a v\u00e1lida podem usar o Sneaky 2FA para conduzir campanhas de phishing. O kit \u00e9 anunciado por US$ 200 por m\u00eas.<\/p>\n\n\n\n Isso n\u00e3o \u00e9 tudo. Refer\u00eancias de c\u00f3digo-fonte tamb\u00e9m foram descobertas apontando para um sindicato de phishing chamado W3LL Store<\/a> , que foi exposto anteriormente pelo Group-IB em setembro de 2023 como estando por tr\u00e1s de um kit de phishing chamado W3LL Panel e v\u00e1rias ferramentas para conduzir ataques de comprometimento de e-mail comercial (BEC).<\/p>\n\n\n\n Isso, junto com similaridades na implementa\u00e7\u00e3o do relay AitM, tamb\u00e9m levantou a possibilidade de que o Sneaky 2FA possa ser baseado no W3LL Panel. Este \u00faltimo tamb\u00e9m opera sob um modelo de licenciamento similar que requer verifica\u00e7\u00f5es peri\u00f3dicas com um servidor central.<\/p>\n\n\n\n O pesquisador da Sekoia, Gr\u00e9goire Clermont, disse ao The Hacker News que, apesar dessas sobreposi\u00e7\u00f5es, o Sneaky 2FA n\u00e3o pode ser considerado um sucessor do W3LL Panel, j\u00e1 que os agentes de amea\u00e7as por tr\u00e1s deste \u00faltimo ainda est\u00e3o ativamente desenvolvendo e vendendo seu pr\u00f3prio kit de phishing.<\/p>\n\n\n\n “Sneaky 2FA \u00e9 um novo kit que reutilizou alguns bits de c\u00f3digo do W3LL OV6”, disse Clermont. “Esse c\u00f3digo-fonte n\u00e3o \u00e9 muito dif\u00edcil de obter, pois os clientes do servi\u00e7o recebem um arquivo de c\u00f3digo ofuscado para hospedar em seus pr\u00f3prios servidores. V\u00e1rias vers\u00f5es desofuscadas\/crackeadas do W3LL circularam nos \u00faltimos anos.”<\/p>\n\n\n\n Em uma reviravolta interessante, alguns dos dom\u00ednios do Sneaky 2FA foram anteriormente associados a kits de phishing AitM conhecidos, como Evilginx2<\/a> e Greatness<\/a> \u2013 uma indica\u00e7\u00e3o de que pelo menos alguns criminosos cibern\u00e9ticos migraram para o novo servi\u00e7o.<\/p>\n\n\n\n “O kit de phishing usa diferentes sequ\u00eancias de caracteres User-Agent codificadas para as solicita\u00e7\u00f5es HTTP, dependendo da etapa do fluxo de autentica\u00e7\u00e3o”, disseram os pesquisadores da Sekoia. “Esse comportamento \u00e9 raro na autentica\u00e7\u00e3o leg\u00edtima de usu\u00e1rios, pois um usu\u00e1rio teria que executar etapas sucessivas da autentica\u00e7\u00e3o em diferentes navegadores da web.”<\/p>\n\n\n\n “Embora as transi\u00e7\u00f5es de User-Agent aconte\u00e7am ocasionalmente em situa\u00e7\u00f5es leg\u00edtimas (por exemplo, autentica\u00e7\u00e3o iniciada em aplicativos de desktop que iniciam um navegador da Web ou WebView para lidar com MFA), a sequ\u00eancia espec\u00edfica de User-Agents usada pelo Sneaky 2FA n\u00e3o corresponde a um cen\u00e1rio realista e oferece uma detec\u00e7\u00e3o de alta fidelidade do kit.”<\/p>\n","protected":false},"excerpt":{"rendered":" Pesquisadores de seguran\u00e7a cibern\u00e9tica detalharam um novo kit de phishing advers\u00e1rio no meio (AitM) capaz de invadir contas do Microsoft 365 com o objetivo de roubar credenciais e c\u00f3digos de autentica\u00e7\u00e3o de dois fatores (2FA) desde pelo menos outubro de 2024. O kit de phishing nascente foi apelidado de Sneaky 2FA pela empresa francesa de […]<\/p>\n","protected":false},"author":1,"featured_media":712,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7,1],"tags":[],"class_list":["post-711","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=711"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/711\/revisions"}],"predecessor-version":[{"id":713,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/711\/revisions\/713"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/712"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"\/](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEirokSCC-6V0vd2RLl_0suu7FZOe5KkaYGFSznpAFeK6burlwKVRFzCAsGFydXkkvIuBN2eIfMdU7SxsXxQ6QWPk5xpMdkFMYZK1VZgQ2U8L3y22CMlvEqgHLxMqc5ciAoQn3xY43QaMJwiUG_0Z9yweHbzZEhIURZ6zFXrTaG1guH6mlX9oKt0tLquixz-\/s728-rw-e365\/image3.png\")
<\/a><\/figure>\n<\/div>\n\n\n