Sneaky 2FA Phishing Kit
Des chercheurs en cybersécurité ont découvert un kit de phishing sophistiqué de type Adversary-in-the-Middle (AitM), baptisé Sneaky 2FA, qui cible activement les comptes Microsoft 365 depuis au moins octobre 2024. Ce kit est conçu pour intercepter les informations d'identification et les codes d'authentification à deux facteurs (2FA), offrant aux acteurs malveillants un outil puissant pour compromettre les comptes.
Table des matières
Adoption généralisée et fonctionnalités de Sneaky 2FA
Près de 100 domaines hébergeant des pages de phishing Sneaky 2FA ont été identifiés, ce qui indique une adoption modérée parmi les cybercriminels. Vendu sous le nom de Phishing-as-a-Service (PhaaS) par un groupe appelé Sneaky Log, ce kit est distribué via un bot Telegram riche en fonctionnalités. Les clients reçoivent une version obscurcie du code source, ce qui leur permet de le déployer de manière indépendante.
Campagnes de phishing ciblant les victimes
Des campagnes utilisant Sneaky 2FA ont été observées envoyant de faux e-mails de reçus de paiement contenant des pièces jointes au format PDF. Ces PDF incluent des codes QR qui, une fois scannés, redirigent les victimes vers des pages de phishing conçues pour imiter les portails de connexion Microsoft 365. Ces pages sont hébergées sur une infrastructure compromise, impliquant souvent des sites Web WordPress, et renseignent automatiquement les adresses e-mail des victimes pour accroître leur légitimité.
Tactiques robustes d’évasion et d’anti-analyse
Sneaky 2FA utilise des techniques avancées anti-bot et anti-analyse. Il filtre le trafic et utilise les défis Cloudflare Turnstile pour restreindre l'accès à ses pages de collecte d'informations d'identification. Le kit exécute également des contrôles pour détecter et résister à l'examen minutieux via les outils de développement de navigateurs Web. Les visiteurs des centres de données, des proxys ou des VPN sont redirigés vers une page Wikipédia liée à Microsoft via le service href.li, ce qui a valu au kit le surnom de WikiKit de TRAC Labs.
Visuels trompeurs pour induire les utilisateurs en erreur
Pour renforcer son authenticité, Sneaky 2FA incorpore des images floues d'interfaces Microsoft légitimes en arrière-plan sur ses fausses pages de connexion. Cette tactique vise à tromper les utilisateurs en les incitant à saisir leurs identifiants sous l'impression qu'ils accèdent à du contenu Microsoft authentique.
Licences et liens vers la boutique W3LL
Le kit Sneaky 2FA nécessite un abonnement actif pour fonctionner, avec une vérification de la clé de licence effectuée via un serveur central. Le service est annoncé à 200 $ par mois, offrant un accès exclusif à ses fonctionnalités. Les enquêtes ont également révélé des liens avec le W3LL Store, un syndicat de phishing précédemment lié au W3LL Panel et des outils utilisés dans les attaques de compromission de courrier électronique professionnel (BEC). Bien que Sneaky 2FA partage certains codes et techniques avec le W3LL Panel, les chercheurs pensent qu'il n'est pas un successeur direct.
Une histoire de la réutilisation et de la migration du code
Il est intéressant de noter que certaines parties du code source de Sneaky 2FA semblent être empruntées à W3LL OV6, dont des versions démasquées circulent parmi les cybercriminels ces dernières années. Certains domaines Sneaky 2FA étaient auparavant associés à des kits AitM comme Evilginx2 et Greatness, ce qui suggère une évolution chez certains attaquants vers l'adoption du nouveau service.
Comportement inhabituel de l’agent utilisateur : un signal d’alarme
L'une des caractéristiques les plus distinctives de Sneaky 2FA est son utilisation de différentes chaînes d'agent utilisateur codées en dur pendant le processus d'authentification. Bien que de telles transitions puissent se produire dans des scénarios légitimes (par exemple, le basculement entre les applications de bureau et les navigateurs Web), la séquence spécifique utilisée par Sneaky 2FA est très irrégulière. Cette anomalie fournit un moyen fiable de détecter le kit en action.
Conclusion : une menace croissante dans le paysage de la cybercriminalité
Sneaky 2FA représente une évolution des outils de phishing, combinant des tactiques d'évasion avancées, la tromperie des utilisateurs et un modèle PhaaS pour répondre aux besoins des cybercriminels. Son adoption met en évidence la nature en constante évolution des menaces en ligne et la nécessité de rester vigilant face aux campagnes de phishing sophistiquées.
