Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) Sneaky 2FA Phishing Kit

Sneaky 2FA Phishing Kit

Por Mezo en Suplantación de identidad (phishing), Software malicioso
Traducir a:
Español

Los investigadores de ciberseguridad han descubierto un sofisticado kit de phishing Adversary-in-the-Middle (AitM), denominado Sneaky 2FA, que ha estado atacando activamente las cuentas de Microsoft 365 desde al menos octubre de 2024. Este kit está diseñado para interceptar credenciales y códigos de autenticación de dos factores (2FA), lo que ofrece a los actores de amenazas una poderosa herramienta para comprometer las cuentas.

Adopción generalizada y características de la autenticación de dos factores (2FA) furtiva

Se han identificado casi 100 dominios que albergan páginas de phishing Sneaky 2FA, lo que indica una adopción moderada entre los cibercriminales. Este kit, que se vende como Phishing-as-a-Service (PhaaS) por un grupo llamado Sneaky Log, se distribuye a través de un bot de Telegram con muchas funciones. Los clientes reciben una versión ofuscada del código fuente, lo que les permite implementarlo de forma independiente.

Campañas de phishing dirigidas a las víctimas

Se han observado campañas que aprovechan la autenticación de dos factores (Sneaky 2FA) para enviar correos electrónicos con recibos de pago falsos que contienen archivos PDF adjuntos. Estos archivos PDF incluyen códigos QR que, cuando se escanean, redirigen a las víctimas a páginas de phishing diseñadas para imitar los portales de inicio de sesión de Microsoft 365. Estas páginas están alojadas en infraestructuras comprometidas, que a menudo involucran sitios web de WordPress, y completan automáticamente las direcciones de correo electrónico de las víctimas para aumentar la legitimidad.

Tácticas robustas de evasión y antianálisis

Sneaky 2FA emplea técnicas avanzadas anti-bots y anti-análisis. Filtra el tráfico y utiliza desafíos de Cloudflare Turnstile para restringir el acceso a sus páginas de recolección de credenciales. El kit también ejecuta comprobaciones para detectar y resistir el escrutinio a través de herramientas para desarrolladores de navegadores web. Los visitantes de centros de datos, servidores proxy o VPN son redirigidos a una página de Wikipedia relacionada con Microsoft a través del servicio href.li, lo que le valió al kit el apodo de WikiKit de TRAC Labs.

Imágenes engañosas para engañar a los usuarios

Para mejorar su autenticidad, Sneaky 2FA incorpora imágenes borrosas de interfaces legítimas de Microsoft como fondo en sus páginas de inicio de sesión falsas. Esta táctica tiene como objetivo engañar a los usuarios para que ingresen sus credenciales bajo la impresión de que están accediendo a contenido genuino de Microsoft.

Licencias y enlaces a la tienda W3LL

El kit Sneaky 2FA requiere una suscripción activa para funcionar, y la verificación de la clave de licencia se realiza a través de un servidor central. El servicio se anuncia a 200 dólares al mes y ofrece acceso exclusivo a sus funciones. Las investigaciones también han revelado conexiones con W3LL Store, un sindicato de phishing vinculado anteriormente con W3LL Panel y herramientas utilizadas en ataques de vulneración de correo electrónico empresarial (BEC). Si bien Sneaky 2FA comparte algunos códigos y técnicas con W3LL Panel, los investigadores creen que no es un sucesor directo.

Una historia de la reutilización y migración de código

Curiosamente, partes del código base de Sneaky 2FA parecen haber sido tomadas de W3LL OV6, y en los últimos años han circulado entre los cibercriminales versiones desofuscadas de este último. Algunos dominios de Sneaky 2FA se asociaron anteriormente con kits de AitM como Evilginx2 y Greatness, lo que sugiere un cambio entre algunos atacantes hacia la adopción del nuevo servicio.

Comportamiento inusual del agente de usuario: una señal de alerta

Una de las características más distintivas de Sneaky 2FA es el uso de diferentes cadenas de agente de usuario codificadas durante el proceso de autenticación. Si bien estas transiciones pueden ocurrir en situaciones legítimas (por ejemplo, al cambiar entre aplicaciones de escritorio y navegadores web), la secuencia específica que utiliza Sneaky 2FA es muy irregular. Esta anomalía proporciona un medio confiable para detectar el kit en acción.

Conclusión: Una amenaza creciente en el panorama del cibercrimen

La autenticación de dos factores (2FA) furtiva representa una evolución en las herramientas de phishing, que combina tácticas avanzadas de evasión, engaño de usuarios y un modelo PhaaS para satisfacer las necesidades de los cibercriminales. Su adopción pone de relieve la naturaleza cambiante de las amenazas en línea y la importancia de mantenerse alerta ante las campañas de phishing sofisticadas.

Tendencias

Solicitud de compra fraudulenta en LinkedIn

Suplantación de identidad (phishing), Correo basura
En un mundo cada vez más digital, la vigilancia es la mejor defensa contra las tácticas en línea. Los cibercriminales perfeccionan constantemente sus tácticas y utilizan el engaño para manipular a usuarios desprevenidos para que entreguen información personal, credenciales o incluso dinero. Uno de esos esquemas fraudulentos es la estafa de LinkedIn Request To Buy From You, un intento de...

Mas Visto

Cargando...