Pesquisadores revelam Kit de Phishing que rouba credenciais e códigos 2FA
Pesquisadores de cibersegurança identificaram um novo kit de phishing, chamado Sneaky 2FA, que utiliza técnicas adversário-no-meio (AitM) para comprometer contas do Microsoft 365. O kit visa roubar credenciais de login e códigos de autenticação de dois fatores (2FA), representando uma evolução preocupante nas estratégias de phishing. Desde outubro de 2024, o Sneaky 2FA tem sido utilizado em campanhas maliciosas, com evidências de que já foi empregado em quase 100 domínios para hospedar páginas fraudulentas.
Phishing como Serviço: A Operacao Sneaky Log
O kit Sneaky 2FA é oferecido como um serviço de phishing (PhaaS, Phishing-as-a-Service) por um grupo criminoso conhecido como Sneaky Log. A operação utiliza um bot no Telegram para gerenciar o serviço, fornecendo a clientes uma versão licenciada e ofuscada do código-fonte. Essa abordagem permite que os clientes implantem o kit de forma independente em campanhas de phishing personalizadas. A assinatura do serviço custa US$ 200 por mês, tornando-o acessível para diferentes tipos de criminosos cibernéticos.
E-mails Enganosos e Mecanismos Avançados
As campanhas de phishing associadas ao Sneaky 2FA utilizam técnicas de engenharia social, como e-mails falsos relacionados a recibos de pagamento. Esses e-mails contêm documentos PDF falsificados com códigos QR que redirecionam as vítimas para páginas de phishing hospedadas pelo kit.
O Sneaky 2FA é equipado com mecanismos avançados de anti-bot e anti-análise, incluindo:
- Filtragem de tráfego: Para evitar a detecção por ferramentas de segurança.
- Desafios do Cloudflare Turnstile: Garantem que apenas alvos humanos sejam direcionados para as páginas fraudulentas.
- Verificações em navegadores: Resistência às tentativas de análise por ferramentas de desenvolvedores.
Simulação de Interfaces Legítimas
As páginas falsas do Sneaky 2FA utilizam técnicas sofisticadas para imitar as interfaces da Microsoft, com imagens desfocadas ao fundo que simulam um ambiente legítimo. Esse detalhamento é projetado para convencer os usuários a fornecerem suas credenciais de login e códigos de 2FA, acreditando que estão acessando uma plataforma segura.
Controle de Licença e Comercialização
Uma investigação mais detalhada revelou que o Sneaky 2FA verifica com um servidor central se a licença do cliente está ativa. Isso significa que apenas os clientes que adquiriram chaves de licença válidas podem operar o kit, destacando a organização empresarial por trás da operação Sneaky Log.
Implicações e Prevenção
A crescente sofisticação de kits como o Sneaky 2FA reflete a urgência de medidas robustas de segurança cibernética. Empresas e usuários precisam estar atentos a e-mails suspeitos e evitar clicar em links ou escanear códigos QR de fontes desconhecidas.
Ademais, a adoção de soluções de segurança mais avançadas, como autenticação multifator baseada em aplicações e proteções contra ataques AitM, é fundamental para mitigar riscos.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
