网络钓鱼攻击不断演变,甚至将最安全的身份验证方法推向极限。Astaroth于2025年1月下旬首次在网络犯罪网络上发布,它是一种全新的网络钓鱼工具包,可通过会话劫持和实时凭证拦截绕过双因素身份验证(2FA)。
Astaroth利用evilginx风格的反向代理来拦截和操纵受害者与Gmail、Yahoo和Microsoft等合法身份验证服务之间的流量。它充当中间人,实时捕获登录凭据、令牌和会话cookie,有效绕过2FA。
Astaroth的独特之处
Astaroth的独特之处在于,它不仅可以拦截登录凭据,还可以在生成2FA身份验证令牌和会话cookie时快速捕获它们。这种实时拦截由反向代理机制实现,使攻击者能够以惊人的速度和精度绕过2FA防御。
相比之下,传统的网络钓鱼工具包通常依赖于静态虚假登录页面,这些页面仅捕获主要凭据,通常不会影响2FA层。通过实时动态拦截所有身份验证数据,Astaroth大大提高了标准,使传统的网络钓鱼方法及其固有的安全措施基本失效。
Astaroth的工作原理
介绍了Astaroth并强调了其绕过传统安全措施的创新方法后,让我们来探索一下该钓鱼工具包在攻击环境中的详细运作机制。攻击始于受害者点击钓鱼URL,该URL将他们重定向到作为反向代理运行的恶意服务器。该服务器会镜像目标域的外观和功能,同时在受害者和合法登录页面之间中继流量。
有了为钓鱼域名颁发的SSL证书,受害者不会看到任何安全警告,并会以为自己访问的是真实网站。Astaroth会将用户请求转发给合法服务,同时秘密拦截响应和敏感数据。
受害者将看到的内容示例
当受害者在钓鱼页面上输入登录凭据(用户名和密码)、用户代理字符串和IP地址时,Astaroth会捕获这些信息,然后将请求转发到合法服务器。用户代理和IP地址允许攻击者复制受害者的会话环境,并降低登录期间的检测风险。
受害者和攻击者所看到的内容示例
由于始终使用2FA(例如通过短信代码、身份验证器应用程序或推送通知),Astaroth会自动实时捕获2FA令牌的输入。它还确保立即拦截受害者输入的任何令牌-攻击者会立即通过Web面板界面和Telegram通知收到警报。
攻击者存储会话信息的Web面板
最后一步是捕获会话cookie,这些cookie由合法服务器在成功验证后发出。Astaroth会拦截这些cookie并将其发送给攻击者,攻击者可以使用手动修改标头或Burp Suite等工具将它们注入浏览器。这完全绕过了2FA-不需要进一步的凭证,因为会话已经通过了验证。除了主要的拦截方法外,Astaroth还包含额外的功能,旨在提高其耐用性和对威胁行为者的吸引力。下一节将深入探讨这些功能以及它们如何融入更大的网络钓鱼生态系统。
主要特点
其他主要功能包括自定义托管选项,如防弹托管,这有助于抵御执法部门的打击企图并确保其基础设施的长期可用性。这使得网络犯罪分子可以在西方当局合作有限的司法管辖区内开展行动。
只需支付2000美元,用户即可获得六个月的持续更新,获得最新的改进和绕过技术。为了建立信任,Astaroth提供购买前测试,展示其在网络犯罪市场上的合法性。
卖家非常透明,公开分享了钓鱼工具包工作原理的详细信息,包括绕过reCAPTCHA和BotGuard保护的技术。这种程度的开放旨在通过解决手动钓鱼设置的常见问题来吸引经验丰富的攻击者和新手。
最后,Astaroth主要通过Telegram分发,并在网络犯罪论坛和市场上推广。不幸的是,这些平台的可访问性,加上它们提供的匿名性,使得执法部门很难追踪和阻止其销售。
据SlashNext的博文称,该公司可以帮助防御各种网络钓鱼工具包,包括Astaroth。其主打产品SlashNext Complete™是一个全面的云消息传递安全平台,可为网络、移动和电子邮件消息传递应用程序提供99.99%准确的实时威胁检测。通过保护电子邮件、浏览器和移动通信,SlashNext可保护企业免遭金融欺诈和数据盗窃。我们的尖端方法可防范新的网络钓鱼威胁,包括那些采用复杂策略的威胁。立即开始使用SlashNext Complete™。
【闲话简评】
Astaroth网络钓鱼工具包的问世揭示了网络钓鱼攻击技术的显著进化,其通过反向代理实时拦截2FA令牌和会话cookie的能力,使得传统防御手段几乎失效。这种工具包的复杂性远超常规攻击,尤其是当其依托于不受执法管辖的托管服务时,追踪和打击变得更加困难。Astaroth的出现凸显了网络安全攻防对抗的动态化和紧迫性。建议用户应避免点击可疑链接,直接访问官方网站以验证账户状态。同时,企业和组织需加强多因素认证的实施,并部署实时威胁检测工具,以应对此类高级攻击。此外,国际合作打击非法托管服务也至关重要,以切断攻击者的基础设施支持。
参考资源
1、https://hackread.com/astaroth-phishing-kit-bypasses-2fa-hijack-gmail-microsoft/
2、https://slashnext.com/blog/astaroth-a-new-2fa-phishing-kit-targeting-gmail-yahoo-aol-o365-and-3rd-party-logins/
原文始发于微信公众号(网空闲话plus):通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FA
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论