法国公司 Sekoia 的安全研究人员发现新的网络钓鱼即服务套件该公司于 1 月 16 日宣布,将于 2024 年 12 月针对 Microsoft 365 帐户。
该套件名为 Sneaky 2FA,由威胁行为者服务 Sneaky Log 通过 Telegram 分发。它与大约 100 个域相关联,并且至少自 2024 年 10 月以来一直处于活动状态。
偷偷摸摸的 2FA 是一种中间对手攻击,这意味着它拦截两个设备之间发送的信息:在本例中,设备具有 Microsoft 365 和网络钓鱼服务器。狡猾的 2FA 属于商业电子邮件泄露攻击类别。
Sekoia 分析师 Quentin Bourgue 和 Grégoire Clermont 在该公司的攻击分析中写道:“与 AiTM 网络钓鱼和商业电子邮件泄露 (BEC) 攻击相关的网络犯罪生态系统正在不断发展,威胁行为者会趁机从一个 PhaaS 平台迁移到另一个 PhaaS 平台,据称是基于网络钓鱼服务的质量和有竞争力的价格。”
Sneaky 2FA 网络钓鱼即服务套件如何工作?
Sneaky Log 出售对通过 Telegram 上的聊天机器人开发套件。一旦客户付款,Sneaky Log 就会提供对 Sneaky 2FA 源代码的访问。 Sneaky Log 使用受感染的 WordPress 网站和其他域来托管触发网络钓鱼工具包的页面。
该骗局涉及向潜在受害者显示虚假的 Microsoft 身份验证页面。然后,Sneaky 2FA 会显示一个 Cloudflare Turnstile 页面,其中包含“验证您是人类”提示框。
如果受害者提供了他们的帐户信息,他们的电子邮件和密码将发送到网络钓鱼服务器。 Sneaky Log 的服务器检测到可用的Microsoft 365 帐户并提示用户关注它们。
用户将被重定向到真实的 Office365 URL,但网络钓鱼服务器现在可以通过 Microsoft 365 API 访问用户的帐户。
如果网络钓鱼网站的访问者是来自数据中心的机器人、云提供商、代理、VPN,或者使用“与已知滥用行为相关”的 IP 地址,则页面会重定向到与 Microsoft 相关的维基百科条目。安全研究团队 TRAC Labs 于 2024 年 12 月在他们命名的网络钓鱼方案中检测到类似技术维基百科。
Sekoia 指出,Sneaky Log 的工具包与风险平台公司 Group-1B 于 2023 年 9 月发现的另一个网络钓鱼工具包共享一些源代码。该套件与名为 W3LL 的威胁参与者相关。
Sneaky Log 以每月 200 美元的价格出售 Sneaky 2FA,并以加密货币支付。 Sekoia 表示,这比 Sneaky Log 的其他犯罪竞争对手提供的套件稍微便宜一些。
请参阅:多因素身份验证和垃圾邮件过滤器可以减少网络钓鱼,但了解的员工是第一道防线。
如何检测和缓解 Sneaky 2FA
Sekoia 表示,可以在用户的 Microsoft 365 审核日志中检测到与 Sneaky 2FA 相关的活动。
特别是,调查网络钓鱼尝试的安全研究人员可能会在身份验证流程的每个步骤中看到 HTTP 请求的不同硬编码用户代理字符串。如果用户身份验证步骤是良性的,则这种情况不太可能发生。
Sekoia 发布了西格玛检测规则“在 iOS 用户代理上使用 Safari 查找 Login:login 事件,在 Windows 用户代理上使用 Edge 查找 Login:resume 事件,两者具有相同的关联 ID,并且在 10 分钟内发生。”
安全专业人员可以提醒员工避免与可疑电子邮件互动,包括那些听起来紧急或令人恐惧的电子邮件。 Sekoia 在名为“Final Lien Waiver.pdf”的恶意电子邮件附件中发现了 Sneaky 2FA,其中包含二维码。二维码中嵌入的 URL 导致页面被盗。
最近其他针对 Microsoft 的网络钓鱼尝试
微软的无处不在使其成为威胁行为者的丰富猎场,无论他们是直接发起攻击还是出售网络钓鱼即服务工具。
2023 年,微软的威胁情报团队披露了一个针对服务的网络钓鱼工具包,例如。同年晚些时候,Proofpoint 摘下了面具,一个可以绕过双因素身份验证的网络钓鱼工具包。
2024 年 10 月,Check Point 警告 Microsoft 产品的用户不要试图窃取帐户信息。