通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FA

admin 2025年2月14日08:46:31评论41 views字数 2788阅读9分17秒阅读模式
Hackread网站2月13日消息,SlashNext威胁研究人员发现了一种名为Astaroth的新型高级网络钓鱼工具包,能够绕过双因素认证(2FA)并窃取Gmail、Yahoo和Microsoft账户的登录凭证。Astaroth通过类似evilginx的反向代理技术,实时拦截用户的登录信息、身份验证令牌和会话cookie,即使启用了2FA也能成功劫持账户。Astaroth的操作方式高度复杂,攻击者通过恶意服务器伪装成合法网站,动态捕获用户输入的凭证和2FA令牌。该工具包还配备了集中控制面板,记录每次攻击的详细信息,包括用户名、密码、用户代理和IP地址,并可通过Telegram实时通知攻击者。这种实时拦截功能使Astaroth能够绕过reCAPTCHA和BotGuard等安全机制,显著提高了攻击的成功率。该工具包通过Telegram出售,售价2000美元,并提供防弹托管和六个月更新支持。卖家还提供购买前的测试服务,展示其绕过常见安全措施的能力。网络安全专家Thomas Richards指出,Astaroth的复杂性使其难以被传统防御措施检测,用户应避免点击可疑链接并直接访问网站以验证账户状态。威胁全球用户的隐私安全。专家呼吁加强数据保护立法和技术防护,以应对日益猖獗的网络犯罪活动。
通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FA

网络钓鱼攻击不断演变,甚至将最安全的身份验证方法推向极限。Astaroth于2025年1月下旬首次在网络犯罪网络上发布,它是一种全新的网络钓鱼工具包,可通过会话劫持和实时凭证拦截绕过双因素身份验证(2FA)。

Astaroth利用evilginx风格的反向代理来拦截和操纵受害者与Gmail、Yahoo和Microsoft等合法身份验证服务之间的流量。它充当中间人,实时捕获登录凭据、令牌和会话cookie,有效绕过2FA。

Astaroth的独特之处

Astaroth的独特之处在于,它不仅可以拦截登录凭据,还可以在生成2FA身份验证令牌和会话cookie时快速捕获它们。这种实时拦截由反向代理机制实现,使攻击者能够以惊人的速度和精度绕过2FA防御。

相比之下,传统的网络钓鱼工具包通常依赖于静态虚假登录页面,这些页面仅捕获主要凭据,通常不会影响2FA层。通过实时动态拦截所有身份验证数据,Astaroth大大提高了标准,使传统的网络钓鱼方法及其固有的安全措施基本失效。

Astaroth的工作原理

介绍了Astaroth并强调了其绕过传统安全措施的创新方法后,让我们来探索一下该钓鱼工具包在攻击环境中的详细运作机制。攻击始于受害者点击钓鱼URL,该URL将他们重定向到作为反向代理运行的恶意服务器。该服务器会镜像目标域的外观和功能,同时在受害者和合法登录页面之间中继流量。

有了为钓鱼域名颁发的SSL证书,受害者不会看到任何安全警告,并会以为自己访问的是真实网站。Astaroth会将用户请求转发给合法服务,同时秘密拦截响应和敏感数据。

通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FA

受害者将看到的内容示例

当受害者在钓鱼页面上输入登录凭据(用户名和密码)、用户代理字符串和IP地址时,Astaroth会捕获这些信息,然后将请求转发到合法服务器。用户代理和IP地址允许攻击者复制受害者的会话环境,并降低登录期间的检测风险。

通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FA

受害者和攻击者所看到的内容示例

由于始终使用2FA(例如通过短信代码、身份验证器应用程序或推送通知),Astaroth会自动实时捕获2FA令牌的输入。它还确保立即拦截受害者输入的任何令牌-攻击者会立即通过Web面板界面和Telegram通知收到警报。

通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FA

攻击者存储会话信息的Web面板

最后一步是捕获会话cookie,这些cookie由合法服务器在成功验证后发出。Astaroth会拦截这些cookie并将其发送给攻击者,攻击者可以使用手动修改标头或Burp Suite等工具将它们注入浏览器。这完全绕过了2FA-不需要进一步的凭证,因为会话已经通过了验证。除了主要的拦截方法外,Astaroth还包含额外的功能,旨在提高其耐用性和对威胁行为者的吸引力。下一节将深入探讨这些功能以及它们如何融入更大的网络钓鱼生态系统。

主要特点

其他主要功能包括自定义托管选项,如防弹托管,这有助于抵御执法部门的打击企图并确保其基础设施的长期可用性。这使得网络犯罪分子可以在西方当局合作有限的司法管辖区内开展行动。

只需支付2000美元,用户即可获得六个月的持续更新,获得最新的改进和绕过技术。为了建立信任,Astaroth提供购买前测试,展示其在网络犯罪市场上的合法性。

通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FA

卖家非常透明,公开分享了钓鱼工具包工作原理的详细信息,包括绕过reCAPTCHA和BotGuard保护的技术。这种程度的开放旨在通过解决手动钓鱼设置的常见问题来吸引经验丰富的攻击者和新手。

最后,Astaroth主要通过Telegram分发,并在网络犯罪论坛和市场上推广。不幸的是,这些平台的可访问性,加上它们提供的匿名性,使得执法部门很难追踪和阻止其销售。

据SlashNext的博文称,该公司可以帮助防御各种网络钓鱼工具包,包括Astaroth。其主打产品SlashNext Complete™是一个全面的云消息传递安全平台,可为网络、移动和电子邮件消息传递应用程序提供99.99%准确的实时威胁检测。通过保护电子邮件、浏览器和移动通信,SlashNext可保护企业免遭金融欺诈和数据盗窃。我们的尖端方法可防范新的网络钓鱼威胁,包括那些采用复杂策略的威胁。立即开始使用SlashNext Complete™。

【闲话简评】

Astaroth网络钓鱼工具包的问世揭示了网络钓鱼攻击技术的显著进化,其通过反向代理实时拦截2FA令牌和会话cookie的能力,使得传统防御手段几乎失效。这种工具包的复杂性远超常规攻击,尤其是当其依托于不受执法管辖的托管服务时,追踪和打击变得更加困难。Astaroth的出现凸显了网络安全攻防对抗的动态化和紧迫性。建议用户应避免点击可疑链接,直接访问官方网站以验证账户状态。同时,企业和组织需加强多因素认证的实施,并部署实时威胁检测工具,以应对此类高级攻击。此外,国际合作打击非法托管服务也至关重要,以切断攻击者的基础设施支持。

参考资源

1、https://hackread.com/astaroth-phishing-kit-bypasses-2fa-hijack-gmail-microsoft/

2、https://slashnext.com/blog/astaroth-a-new-2fa-phishing-kit-targeting-gmail-yahoo-aol-o365-and-3rd-party-logins/

原文始发于微信公众号(网空闲话plus):通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FA

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月14日08:46:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通杀Gmail、Yahoo、Microsoft邮箱:Astaroth网络钓鱼工具包完美绕过2FAhttps://cn-sec.com/archives/3739133.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息