Sneaky2FA 網絡釣魚工具包隨著新的假瀏覽器彈出窗口技巧而演變

Push Security 的安全研究人員警告稱，高級網絡釣魚即服務 (PhaaS) 工具包 Sneaky2FA 已發布一項重大更新，將瀏覽器中的欺騙與實時中間對手 (AiTM) 功能集成在一起。

此次升級使攻擊者能夠顯示一個虛假的身份驗證彈出窗口，該窗口復制了 Microsoft 的真實登錄窗口，包括地址欄。假窗口甚至可以適應用戶的設備和瀏覽器，與 Windows 上的 Edge 或 macOS 上的 Safari 的外觀相匹配。此外，此次升級使得 Sneaky2FA 更難被發現，並且在繞過多重身份驗證 (MFA) 方面更加有效。

攻擊如何進行

當受害者點擊網絡釣魚鏈接時，攻擊就會開始，該鏈接通常託管在“previewdoc[.]us”等域上。在看到任何可疑內容之前，用戶必須完成 Cloudflare Turnstile 檢查，這種策略可防止安全機器人訪問其網頁進行分析。

通過 Cloudflare Turnstile 機器人檢查後，頁面會重定向到 Previewdoc[.]us 的子域，這會提示用戶“使用 Microsoft 登錄”以查看 Adob​​​​e 風格的文檔。要打開該文件，用戶被告知“使用 Microsoft 登錄”。

單擊“通過 Microsoft 登錄”後，會出現 BitB 彈出窗口，顯示看起來像 Microsoft 品牌的登錄屏幕，並帶有令人信服的地址欄。彈出窗口會自動適應受害者的操作系統和瀏覽器，使其與真實的窗口幾乎沒有區別。

在幕後，攻擊者的反向代理引擎加載真正的 Microsoft 登錄流程，默默地捕獲用戶名、密碼和活動會話令牌 - 即使受害者啟用了 2FA，攻擊者也可以訪問該帳戶。

內置多層規避

Sneaky2FA 的最新版本專為隱秘而設計，使用多層規避措施來避開掃描儀和人類分析師。它通過 Cloudflare Turnstile 和驗證碼檢查阻止自動爬蟲，並將訪問者從安全公司或可疑 IP 重定向到維基教科書等無害網站。它的代碼嚴重混淆，用亂碼的 HTML 和 JavaScript、碎片化的文本和圖像替換關鍵元素，以擊敗基於模式的檢測工具。

該套件甚至可以禁用或乾擾瀏覽器調試工具，以防止分析人員查看源代碼。攻擊者還通過短期、廢棄或受損的域名進行輪換，這些域名具有較長的隨機 URL，這些 URL 幾天后就會消失，從而使網絡釣魚頁面難以跟踪或列入黑名單。

“攻擊者不斷創新他們的網絡釣魚技術，特別是在日益專業化的 PhaaS 生態系統的背景下。基於身份的攻擊仍然是造成數據洩露的主要原因，因此攻擊者被激勵去改進和增強他們的網絡釣魚基礎設施。”研究人員解釋一下在周二發表的一篇博客文章中。

閱讀更多：Android 實用工具評論 – Android 和三星故障排除套件

更廣泛的 PhaaS 進化的一部分

Sneaky2FA 是採用 BitB 的最新網絡釣魚工具包，此前 Raccoon0365 以及 Tycoon2FA 和 Mamba2FA 等其他 AiTM 工具包也採取了類似舉措。分析師警告說，網絡釣魚即服務操作正在迅速發展，因為攻擊者正在尋求更可靠的方法來擊敗 MFA 並融入合法的登錄流。

Push Security 確認其基於瀏覽器的檢測系統成功實時識別了 Sneaky2FA BitB 套件，從而在憑證被盜之前阻止了網絡釣魚嘗試。然而，它警告說，依賴簽名或域檢查的傳統安全工具將繼續陷入困境。