Η υπηρεσία phishing Sneaky2FA πρόσθεσε πρόσφατα μια επικίνδυνη νέα δυνατότητα στην εργαλειοθήκη της που κάνει την κλοπή διαπιστευτηρίων λογαριασμού Microsoft ακόμα πιο εύκολη για τους εισβολείς.
Αναλυτές και ερευνητές της Push Security εντόπισαν αυτήν την απειλή που λειτουργεί στη φύση, χρησιμοποιώντας μια εξελιγμένη τεχνική που ονομάζεται Browser-in-the-Browser (BITB) για να εξαπατήσει τους χρήστες να παραδώσουν τα στοιχεία σύνδεσής τους.
Αυτή η εξέλιξη αντιπροσωπεύει μια ανησυχητική εξέλιξη στις επιθέσεις phishing που συνεχίζει να απειλεί οργανισμούς παγκοσμίως.
Τα κιτ phishing-as-a-Service όπως το Sneaky2FA έχουν γίνει ολοένα και πιο δημοφιλή στους εγκληματικούς κύκλους επειδή μειώνουν το εμπόδιο εισόδου για όποιον θέλει να εξαπολύσει προηγμένες επιθέσεις.
Αυτές οι πλατφόρμες λειτουργούν στο Telegram με πλήρως αδειοδοτημένες, ασαφείς εκδόσεις πηγαίου κώδικα που μπορούν να αναπτύξουν ανεξάρτητα οι εισβολείς.
Το ανταγωνιστικό περιβάλλον στην αγορά του κυβερνοεγκλήματος έχει οδηγήσει την καινοτομία με ανησυχητικό ρυθμό, δημιουργώντας μια κούρσα εξοπλισμών όπου οι επιτιθέμενοι αναπτύσσουν συνεχώς νέους τρόπους για να παρακάμπτουν τους ελέγχους ασφαλείας και να κλέβουν διαπιστευτήρια.
Push Security αναλυτές και ερευνητές αναγνωρισθείς η τελευταία παραλλαγή Sneaky2FA μετά τον εντοπισμό ασυνήθιστης δραστηριότητας, υποδηλώνοντας ότι το εργαλείο είχε αποκτήσει νέες τεχνικές δυνατότητες.
Λειτουργικότητα BITB
Η προσθήκη της λειτουργικότητας BITB αντιπροσωπεύει μια σημαντική αλλαγή τακτικής για την πλατφόρμα, συνδυάζοντας πολλαπλά επίπεδα εξαπάτησης για να μεγιστοποιήσει τις πιθανότητες επιτυχούς κλοπής διαπιστευτηρίων.
Όταν οι χρήστες αντιμετωπίζουν αυτήν την επίθεση phishing, βλέπουν πρώτα αυτό που φαίνεται να είναι ένα νόμιμο έγγραφο του Adobe Acrobat Reader που τους απαιτεί να συνδεθούν με τον λογαριασμό Microsoft τους.
Αφού κάνετε κλικ στο κουμπί σύνδεσης, εμφανίζεται ένα ενσωματωμένο παράθυρο του προγράμματος περιήγησης, που εμφανίζει κάτι που μοιάζει με μια αυθεντική σελίδα σύνδεσης της Microsoft.
.webp)
Ωστόσο, αυτό το αναδυόμενο παράθυρο είναι στην πραγματικότητα ένα ψεύτικο που περιέχεται στη σελίδα του εισβολέα. Το παράθυρο του προγράμματος περιήγησης προσαρμόζει αυτόματα την εμφάνισή του ώστε να ταιριάζει με το λειτουργικό σύστημα και τον τύπο του προγράμματος περιήγησης του επισκέπτη, καθιστώντας την εξαπάτηση ακόμα πιο πειστική στους ανυποψίαστους χρήστες.
Η τεχνική πολυπλοκότητα πίσω από αυτήν την επίθεση περιλαμβάνει πολλαπλούς μηχανισμούς αποφυγής που έχουν σχεδιαστεί για να εμποδίζουν τα εργαλεία ασφαλείας να την ανιχνεύσουν. Προτού ακόμη οι χρήστες δουν τη σελίδα phishing, πρέπει να περάσουν έναν έλεγχο προστασίας ρομπότ Cloudflare Turnstile.
Ο κώδικας HTML και JavaScript είναι πολύ ασαφής για να αποφευχθεί ο εντοπισμός αντιστοίχισης προτύπων. Επιπλέον, οι τομείς ηλεκτρονικού ψαρέματος χρησιμοποιούν τυχαίες διαδρομές URL 150 χαρακτήρων και λειτουργούν σε παραβιασμένους ή παλιούς ιστότοπους.
Οι επιτιθέμενοι συχνά περιστρέφουν αυτούς τους τομείς, χρησιμοποιώντας τους για λίγο πριν τους εγκαταλείψουν και αναπτύξουν νέους, δημιουργώντας έναν συνεχώς κινούμενο στόχο για τις παραδοσιακές άμυνες.
Αυτή η καινοτομία στις τεχνικές phishing δείχνει πώς οι εισβολείς συνεχίζουν να προσαρμόζουν τις μεθόδους τους για να παρακάμψουν τους σύγχρονους ελέγχους ασφαλείας.
Οι χρήστες θα πρέπει να παραμείνουν σε επαγρύπνηση όταν αντιμετωπίζουν απροσδόκητα αιτήματα για επαλήθευση της ταυτότητάς τους στο διαδίκτυο, ιδιαίτερα όταν εμφανίζονται αναδυόμενα παράθυρα που ζητούν ευαίσθητα διαπιστευτήρια.
Οι οργανισμοί πρέπει να εφαρμόζουν συστήματα ανίχνευσης ικανά να αναλύουν ζωντανές σελίδες σε πραγματικό χρόνο αντί να βασίζονται αποκλειστικά σε παραδοσιακές άμυνες που εξετάζουν τη φήμη του τομέα ή τις στατικές υπογραφές.
