Sneaky2FA hizmet olarak kimlik avı (PhaaS) kiti, Microsoft kimlik bilgilerini ve etkin oturumları çalmak için yapılan saldırılarda kullanılan tarayıcıda tarayıcı (BitB) yetenekleri ekledi.
Sneaky2FA, şu anda Tycoon2FA ve Mamba2FA ile birlikte yaygın olarak kullanılan bir PhaaS platformudur ve tümü öncelikli olarak Microsoft 365 hesaplarını hedeflemektedir.
Kit, SVG tabanlı saldırıları ve kimlik doğrulama sürecinin saldırganlara geçerli oturum jetonlarını ileten bir kimlik avı sayfası aracılığıyla meşru hizmete proxy olarak gönderildiği ortadaki saldırgan (AitM) taktikleriyle biliniyordu.
Push Security'den gelen bir rapora göre Sneaky2FA artık meşru bir Microsoft oturum açma penceresini taklit eden bir BitB açılır penceresi ekledi. Aldatmaya ek olarak sahte oturum açma sayfası, kurbanın işletim sistemine ve tarayıcısına göre dinamik olarak ayarlanıyor.
Kimlik bilgilerini ve etkin oturum belirteçlerini çalan bir saldırgan, iki faktörlü kimlik doğrulama (2FA) koruması etkin olsa bile kurbanın hesabında kimlik doğrulaması yapabilir.
BitB, araştırmacı mr.d0x tarafından 2022'de geliştirilen bir kimlik avı tekniğidir ve o zamandan beri diğer hizmetlerin yanı sıra Facebook ve Steam hesaplarını hedef alan gerçek saldırılar için tehdit aktörleri tarafından benimsenmiştir.
Saldırı sırasında, saldırganın kontrolündeki bir web sayfasına giren kullanıcılar, giriş formunun yer aldığı sahte bir tarayıcı açılır penceresiyle karşılaşıyor.
Açılır pencerenin şablonu, meşru hizmetlerin kimlik doğrulama biçimini taklit eden ve belirli bir URL ve pencere başlığıyla özelleştirilebilen bir iframe'dir.
Sahte pencerede, hedeflenen hizmetin resmi alan adresini içeren bir URL çubuğu görüntülendiğinden, güvenilir bir OAuth açılır penceresi gibi görünür.
Sneaky2FA durumunda, kurban "previewdoc[.]com"da bir kimlik avı bağlantısı açar ve bir belgeyi görüntülemek için Microsoft'ta oturum açması istenmeden önce Cloudflare Turnstile bot kontrolünden geçer.
"Microsoft ile Oturum Aç" seçeneği tıklanırsa, sahte bir Microsoft URL çubuğu içeren, Windows'ta Edge veya macOS'ta Safari için uygun şekilde yeniden boyutlandırılan ve stillendirilen sahte BitB penceresi oluşturulur.
Sahte açılır pencerenin içinde Sneaky2FA, ters proxy Microsoft kimlik avı sayfasını yükler, böylece AitM sistemi aracılığıyla hem hesap bilgilerini hem de oturum belirtecini çalmak için gerçek giriş akışından yararlanır.
Temel olarak BitB, Sneaky2FA'nın mevcut AitM yeteneklerine ek olarak kozmetik bir aldatma katmanı olarak kullanılıyor ve saldırı zincirine daha fazla gerçekçilik katıyor.
Kimlik avı kiti ayrıca koşullu yüklemeyi kullanarak botları ve araştırmacıları zararsız bir sayfaya gönderiyor.
Push Security, bu kimlik avı sitelerinin kaçakçılık düşünülerek oluşturulduğunu ve ziyaret edildiğinde uyarı tetiklemelerinin pek olası olmadığını bildiriyor.
Araştırmacılar, "Sneaky2FA sayfalarının HTML ve JavaScript'i, kullanıcı arayüzü metnini görünmez etiketlerle bölmek, arka plan ve arayüz öğelerini metin yerine kodlanmış görüntüler olarak gömmek ve kullanıcı tarafından görülemeyen ancak tarama araçlarının sayfanın parmak izini almasını zorlaştıran diğer değişiklikler gibi statik algılama ve kalıp eşleştirmeden kaçınmak için büyük ölçüde gizlenmiştir" diye açıklıyor.
Açılan oturum açma formunun orijinal olup olmadığını belirlemenin bir yolu, formu orijinal tarayıcı penceresinin dışına sürüklemeye çalışmaktır. Bu, ana penceresine bağlı olduğundan iframe ile mümkün değildir.
Ayrıca, görev çubuğunda ayrı bir tarayıcı örneği olarak yasal bir pop-up görünür.
BitB desteği, Raccoon0365/Storm-2246 adlı başka bir PhaaS hizmetiyle görüldü; bu hizmet, yakın zamanda binlerce Microsoft 365 kimlik bilgisini çaldıktan sonra Microsoft ve Cloudflare tarafından kesintiye uğradı.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Quantum Route Redirect PhaaS dünya çapındaki Microsoft 365 kullanıcılarını hedefliyor
Saldırganlar Artık Uygulama Tabanlı MFA'yı Atlıyor, Donanım Biyometrisi Onları Durduruyor
Google, ABD geçiş ücreti dolandırıcılığının ardındaki Çin kimlik avı platformunu ortadan kaldırmak için dava açtı
İspanya "GXC Team" siber suç örgütünü dağıttı, liderini tutukladı
Thunderbird, Microsoft Exchange hesapları için yerel destek ekliyor
Kaynak: Bleeping Computer