新型Sneaky 2FA钓鱼工具包瞄准微软365账户，绕过双重认证（2FA）窃取凭证

近日，网络安全研究人员详细披露了一种新型“中间人攻击”（AitM）钓鱼工具包，该工具包自2024年10月以来一直针对微软365账户，旨在窃取用户凭证和双重认证（2FA）代码。这一新兴钓鱼工具包被法国网络安全公司Sekoia命名为“Sneaky 2FA”，并于去年12月首次在野外检测到。截至目前，已发现近100个托管Sneaky 2FA钓鱼页面的域名，表明该工具包已被威胁行为者广泛采用。

Sekoia在一份分析报告中指出：“该工具包由网络犯罪服务‘Sneaky Log’以‘钓鱼即服务’（PhaaS）的形式出售，并通过Telegram上的一个功能齐全的机器人进行操作。据报道，客户可以获得经过许可的混淆版本源代码，并独立部署。”

钓鱼活动通过发送与支付收据相关的电子邮件，诱使收件人打开包含二维码的虚假PDF文档。扫描二维码后，受害者将被重定向到Sneaky 2FA页面。Sekoia表示，这些钓鱼页面托管在受攻击者控制的基础设施上，主要涉及WordPress网站和其他被攻击者控制的域名。虚假认证页面会自动填充受害者的电子邮件地址，以提高其可信度。

该工具包还具备多种反机器人和反分析措施，采用流量过滤和Cloudflare Turnstile挑战等技术，确保只有符合特定条件的受害者才会被引导至凭证收集页面。此外，它还运行一系列检查，以检测并抵抗使用Web浏览器开发者工具的分析尝试。

值得注意的是，该PhaaS服务会检测访问者的IP地址。如果IP地址来自数据中心、云提供商、机器人、代理或VPN，访问者将被重定向到与微软相关的维基百科页面。这种行为促使TRAC Labs将其命名为“WikiKit”。

Sekoia解释道：“Sneaky 2FA钓鱼工具包在其虚假的微软认证页面中使用了几张模糊图像作为背景。通过使用合法微软界面的截图，这种策略旨在欺骗用户进行身份验证，以获取对模糊内容的访问权限。”

进一步调查显示，该钓鱼工具包依赖于与中央服务器（可能是操作者）的检查，以确保订阅处于活动状态。这表明只有拥有有效许可证密钥的客户才能使用Sneaky 2FA进行钓鱼活动。该工具包的广告价格为每月200美元。

不仅如此，研究人员还发现了指向名为“W3LL Store”的钓鱼集团的源代码引用。该集团曾在2023年9月被Group-IB曝光，其开发的W3LL Panel钓鱼工具包和各种工具被用于商业电子邮件泄露（BEC）攻击。由于AitM中继实现的相似性，Sneaky 2FA可能基于W3LL Panel。后者也采用类似的许可模式，需要定期与中央服务器进行检查。

Sekoia研究员Grégoire Clermont告诉《The Hacker News》，尽管存在这些重叠，Sneaky 2FA不能被视为W3LL Panel的继任者，因为后者的威胁行为者仍在积极开发和销售自己的钓鱼工具包。Clermont表示：“Sneaky 2FA是一个新工具包，重用了W3LL OV6的部分代码。这些源代码并不难获取，因为服务客户会收到一个混淆代码的压缩包，可以托管在自己的服务器上。过去几年中，已经流传了几个解混淆/破解版本的W3LL。”

有趣的是，一些Sneaky 2FA域名此前与已知的AitM钓鱼工具包（如Evilginx2和Greatness）相关联，这表明至少有一部分网络犯罪分子已迁移到这项新服务。

Sekoia研究人员指出：“该钓鱼工具包根据认证流程的不同步骤，为HTTP请求使用不同的硬编码User-Agent字符串。这种行为在合法用户认证中很少见，因为用户通常不会从不同的Web浏览器执行连续的认证步骤。虽然User-Agent转换在合法情况下偶尔会发生（例如，在桌面应用程序中启动Web浏览器或WebView以处理MFA），但Sneaky 2FA使用的特定User-Agent序列并不符合现实场景，这为检测该工具包提供了高保真度的方法。”

结语Sneaky 2FA的出现再次提醒我们，网络钓鱼攻击手段正在不断进化，尤其是针对双重认证的绕过技术，给企业和个人用户带来了更大的安全挑战。企业和用户应提高警惕，加强安全意识培训，并采用多层次的防御措施，以应对日益复杂的网络威胁。

原文始发于微信公众号（技术修道场）：新型“Sneaky 2FA”钓鱼工具包瞄准微软365账户，绕过双重认证（2FA）窃取凭证