Sneaky 2FA phishing kampány
2024 decemberében a napi fenyegetésvadászat során a Sekoia csapata egy új, Microsoft 365 fiókokat célzó Adversary-in-the-Middle (AiTM) adathalász készletet azonosított. Ezek az adathalász oldalak legalább 2024 októbere óta aktívak, és ebben az időszakban a Sekoia.io telemetrián keresztül azonosítottak potenciális kompromittációkat. A Sekoia elemzései kimutatták, hogy ezt a készletet Phishing-as-a-Service (PhaaS) néven értékesíti a „Sneaky Log” kiberbűnözési szolgáltatás, amely egy teljes körűen felszerelt boton keresztül működik a Telegramon. Az ügyfelek állítólag hozzáférést kapnak a forráskód licencelt, obfuszkált változatához, és önállóan telepítik azt. Jelenleg a Sneaky 2FA adathalászoldalakat kompromittált infrastruktúrán tárolják, gyakran WordPress-weboldalakat és más, a támadó által ellenőrzött domaineket érintve.
A Sekoia Threat Detection & Research (TDR) csapata további elemzés céljából megszerezte a kiszivárgott forráskódot. Vizsgálatuk során felfedezték, hogy az adathalász-készlet a W3LL Panel OV6, a Group-IB által 2023 szeptemberében bejelentett AiTM adathalász-készlet néhány forráskódját tartalmazza. A Sekoia blogbejegyzése áttekintést nyújt a Sneaky 2FA adathalász készletről, ismertetve annak működését és a Telegramon működő kapcsolódó kiberbűnözési szolgáltatást. Emellett megosztották a felderítési lehetőségeket, valamint a Sneaky 2FA adathalászkampányaihoz kapcsolódó IoC-kat.
