Nel mondo della sicurezza informatica, un nuovo kit di phishing chiamato "Sneaky 2FA" sta destando preoccupazione a causa della sua capacità di aggirare l'autenticazione a due fattori (2FA) e di colpire gli account Microsoft 365. Questo kit, scoperto dall'azienda francese di cybersecurity Sekoia, è stato rilevato in azione già da ottobre 2024 e ha guadagnato una certa diffusione con circa 100 domini ospitanti pagine di phishing Sneaky 2FA identificati fino ad ora.

Sneaky 2FA come Phishing-as-a-Service

Sneaky 2FA viene venduto come Phishing-as-a-Service (PhaaS) attraverso un servizio di cybercrime noto come 'Sneaky Log', che opera tramite un bot su Telegram. Gli acquirenti del servizio ricevono una versione offuscata del codice sorgente, consentendo loro di distribuire il kit indipendentemente. Le campagne di phishing associate utilizzano email legate a ricevute di pagamento per indurre i destinatari ad aprire documenti PDF falsi contenenti un codice QR. Questo codice, una volta scansionato, reindirizza gli utenti alle pagine di phishing Sneaky 2FA.

Caratteristiche delle pagine di phishing

Le pagine di phishing sono ospitate su infrastrutture compromesse, spesso coinvolgendo siti web WordPress e altri domini controllati dagli attaccanti. Le pagine false di autenticazione sono progettate per riempire automaticamente l'indirizzo email della vittima, aumentando così la loro legittimità. Il kit adotta anche misure anti-bot e anti-analisi, come il filtraggio del traffico e le sfide Cloudflare Turnstile, per assicurarsi che solo le vittime che soddisfano determinati criteri siano indirizzate verso le pagine di raccolta delle credenziali.

Comportamento distintivo del PhaaS

Un aspetto distintivo del PhaaS è che i visitatori del sito il cui indirizzo IP proviene da un data center, un provider cloud, un bot, un proxy o una VPN vengono reindirizzati a una pagina di Wikipedia relativa a Microsoft. Questa caratteristica ha portato TRAC Labs a denominare il kit "WikiKit". Inoltre, il kit utilizza immagini sfocate come sfondo per le sue false pagine di autenticazione Microsoft, utilizzando screenshot di interfacce legittime per ingannare gli utenti.

Verifica e costo del kit

Le indagini hanno rivelato che il kit di phishing si basa su un controllo con un server centrale per verificare che l'abbonamento sia attivo, indicando che solo i clienti con una chiave di licenza valida possono utilizzare Sneaky 2FA per le loro campagne di phishing. Il kit è pubblicizzato al costo di 200 dollari al mese.

Somiglianze con W3LL Panel

Infine, ci sono somiglianze con un altro kit di phishing noto come W3LL Panel, il che suggerisce che Sneaky 2FA possa essere basato su di esso. Tuttavia, nonostante queste sovrapposizioni di codice, Sneaky 2FA non può essere considerato un successore di W3LL Panel, poiché quest'ultimo è ancora attivamente sviluppato e venduto.