Bộ công cụ lừa đảo 'Sneaky 2FA' mới nhắm vào các tài khoản Microsoft 365 bằng cách bỏ qua mã 2FA

Bộ công cụ lừa đảo 'Sneaky 2FA' mới nhắm vào các tài khoản Microsoft 365 bằng cách bỏ qua mã 2FA

Các nhà nghiên cứu an ninh mạng đã trình bày chi tiết về một bộ công cụ lừa đảo kiểu đối thủ ở giữa (AitM) mới có khả năng đánh cắp thông tin đăng nhập và mã xác thực hai yếu tố (2FA) của tài khoản Microsoft 365 kể từ ít nhất là tháng 10 năm 2024.

Bộ công cụ lừa đảo 'Sneaky 2FA' mới nhắm vào các tài khoản Microsoft 365 bằng cách bỏ qua mã 2FA

Bộ công cụ lừa đảo mới ra đời này được công ty an ninh mạng Sekoia của Pháp đặt tên là Sneaky 2FA, công ty này đã phát hiện ra nó trong thực tế vào tháng 12. Tính đến tháng này, gần 100 tên miền lưu trữ các trang lừa đảo Sneaky 2FA đã được xác định, cho thấy các tác nhân đe dọa đã áp dụng ở mức độ vừa phải.

"Bộ công cụ này đang được dịch vụ tội phạm mạng 'Sneaky Log' bán dưới dạng dịch vụ lừa đảo (PhaaS), hoạt động thông qua một bot có đầy đủ tính năng trên Telegram", công ty cho biết trong một bản phân tích. "Theo báo cáo, khách hàng sẽ được quyền truy cập vào phiên bản mã nguồn được cấp phép đã được làm tối nghĩa và triển khai độc lập".

Các chiến dịch lừa đảo đã được phát hiện khi gửi email liên quan đến biên lai thanh toán để dụ người nhận mở các tài liệu PDF giả mạo có chứa mã QR, khi quét, mã này sẽ chuyển hướng họ đến các trang 2FA lén lút.

Sekoia cho biết các trang lừa đảo được lưu trữ trên cơ sở hạ tầng bị xâm phạm, chủ yếu liên quan đến các trang web WordPress và các tên miền khác do kẻ tấn công kiểm soát. Các trang xác thực giả được thiết kế để tự động điền địa chỉ email của nạn nhân nhằm nâng cao tính hợp pháp của họ.

Bộ công cụ này cũng tự hào có một số biện pháp chống bot và chống phân tích, sử dụng các kỹ thuật như lọc lưu lượng truy cập và thử thách Cloudflare Turnstile để đảm bảo rằng chỉ những nạn nhân đáp ứng các tiêu chí nhất định mới được chuyển hướng đến các trang thu thập thông tin xác thực. Nó tiếp tục chạy một loạt các lần kiểm tra để phát hiện và chống lại các nỗ lực phân tích bằng cách sử dụng các công cụ dành cho nhà phát triển trình duyệt web.

Một khía cạnh đáng chú ý của PhaaS là ​​những người truy cập trang web có địa chỉ IP bắt nguồn từ trung tâm dữ liệu, nhà cung cấp đám mây, bot, proxy hoặc VPN sẽ được chuyển hướng đến trang Wikipedia liên quan đến Microsoft bằng dịch vụ chuyển hướng href[.]li. Hành vi này đã khiến TRAC Labs đặt tên cho nó là WikiKit.

"Bộ công cụ lừa đảo 2FA Sneaky sử dụng một số hình ảnh mờ làm nền cho các trang xác thực Microsoft giả mạo của nó", Sekoia giải thích. "Bằng cách sử dụng ảnh chụp màn hình của các giao diện Microsoft hợp lệ, chiến thuật này nhằm đánh lừa người dùng tự xác thực để có quyền truy cập vào nội dung mờ".

 

Cuộc điều tra sâu hơn đã tiết lộ rằng bộ công cụ lừa đảo dựa trên việc kiểm tra với máy chủ trung tâm, có thể là nhà điều hành, để đảm bảo rằng đăng ký đang hoạt động. Điều này cho thấy rằng chỉ những khách hàng có khóa cấp phép hợp lệ mới có thể sử dụng Sneaky 2FA để thực hiện các chiến dịch lừa đảo. Bộ công cụ này được quảng cáo với giá 200 đô la một tháng.

Không chỉ có vậy. Các tham chiếu mã nguồn cũng đã được phát hiện chỉ ra một tổ chức lừa đảo có tên là W3LL Store, trước đó đã bị Group-IB vạch trần vào tháng 9 năm 2023 là đứng sau một bộ công cụ lừa đảo có tên là W3LL Panel và nhiều công cụ khác nhau để thực hiện các cuộc tấn công xâm phạm email doanh nghiệp (BEC).

Điều này, cùng với những điểm tương đồng trong việc triển khai chuyển tiếp AitM, cũng đã làm dấy lên khả năng rằng Sneaky 2FA có thể dựa trên W3LL Panel. Sau này cũng hoạt động theo mô hình cấp phép tương tự, yêu cầu kiểm tra định kỳ với máy chủ trung tâm.

Nhà nghiên cứu Grégoire Clermont của Sekoia nói với The Hacker News rằng mặc dù có những điểm trùng lặp này, Sneaky 2FA không thể được coi là phiên bản kế nhiệm của W3LL Panel, vì những kẻ đe dọa đằng sau phiên bản sau vẫn đang tích cực phát triển và bán bộ công cụ lừa đảo của riêng chúng.

"Sneaky 2FA là một bộ công cụ mới sử dụng lại một số đoạn mã từ W3LL OV6", Clermont cho biết. "Mã nguồn đó không quá khó để có được vì khách hàng của dịch vụ này nhận được kho lưu trữ mã đã được mã hóa để lưu trữ trên máy chủ của riêng họ. Một số phiên bản W3LL đã được giải mã/bẻ khóa đã được lưu hành trong những năm qua".

Trong một diễn biến thú vị, một số tên miền Sneaky 2FA trước đây đã được liên kết với các bộ công cụ lừa đảo AitM đã biết, chẳng hạn như Evilginx2 và Greatness – một dấu hiệu cho thấy ít nhất một số tội phạm mạng đã chuyển sang dịch vụ mới.

"Bộ công cụ lừa đảo sử dụng các chuỗi User-Agent được mã hóa cứng khác nhau cho các yêu cầu HTTP tùy thuộc vào bước của luồng xác thực", các nhà nghiên cứu Sekoia cho biết. "Hành vi này hiếm khi xảy ra trong quá trình xác thực người dùng hợp pháp, vì người dùng sẽ phải thực hiện các bước xác thực liên tiếp từ các trình duyệt web khác nhau".

"Mặc dù đôi khi xảy ra quá trình chuyển đổi User-Agent trong các tình huống hợp pháp (ví dụ: xác thực được khởi tạo trong các ứng dụng máy tính để bàn khởi chạy trình duyệt web hoặc WebView để xử lý MFA), nhưng trình tự cụ thể của User-Agent được Sneaky 2FA sử dụng không tương ứng với một kịch bản thực tế và cung cấp khả năng phát hiện bộ công cụ có độ trung thực cao".

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Lừa đảo quảng cáo độc hại sử dụng Quảng cáo Google giả để chiếm đoạt Tài khoản quảng cáo Microsoft

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà quảng cáo của Microsoft bằng các quảng cáo Google...

Chi tiết
Standard Post with Image

Bản vá lỗi của Apple khai thác lỗ hổng Zero-Day đang ảnh hưởng đến iPhone, máy Mac và nhiều thiết bị khác

Apple đã phát hành bản cập nhật phần mềm để giải quyết một số lỗi bảo mật trong danh mục đầu tư của mình, bao gồm lỗ hổng zero-day mà công ty cho...

Chi tiết
Standard Post with Image

Lỗ hổng Llama Framework của Meta khiến hệ thống AI có nguy cơ thực thi mã từ xa

Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong khuôn khổ mô hình ngôn ngữ lớn (LLM) Llama của Meta, nếu khai thác thành công, có thể cho phép...

Chi tiết