Phishing-Kit knackt Microsoft-365-Konten trotz Zwei-Faktor-Authentifizierung
Ein neues Adversary-in-the-Middle (AitM)-Phishing-Toolkit soll es seit mindestens Oktober 2024 aktiv auf Microsoft-365-Konten abgesehen haben. Ziel ist es, Anmeldeinformationen und Zwei-Faktor-Authentifizierungs-Codes (2FA) zu stehlen.
Ein neues Phishing-Kit mit dem Namen „Sneaky 2FA“ macht aktuell die Runde. Es wurde im Dezember vom französischen Cybersicherheitsunternehmen Sekoia im öffentlichen Internet entdeckt. Bisher sind knapp 100 Domänen bekannt, die Phishing-Seiten von Sneaky 2FA hosten – ein Hinweis darauf, dass das Kit bei Kriminellen bislang nur mäßig verbreitet ist.
Laut Sekoia wird Sneaky 2FA als Phishing-as-a-Service (PhaaS) über den Cybercrime-Dienst „Sneaky Log“ verkauft. Dieser operiert über einen Telegram-Bot, der Kunden eine lizenzierte, verschleierte Version des Quellcodes bereitstellt, die sie nach Belieben nutzen können.
E-Mails mit gefälschten Zahlungsbelegen als Ausgangspunkt
Bei den beobachteten Phishing-Kampagnen wurden E-Mails mit angeblichen Zahlungsbelegen verschickt. Diese enthielten gefälschte PDF-Dokumente mit einem QR-Code, der die Empfänger nach dem Scannen auf die Sneaky 2FA-Phishing-Seiten weiterleitete.
Laut Sekoia werden die Phishing-Seiten auf einer kompromittierten Infrastruktur gehostet, bei der es sich meist um WordPress-Websites und andere vom Angreifer kontrollierte Domains handelt. Die gefälschten Authentifizierungsseiten sind so gestaltet, dass sie automatisch die E-Mail-Adresse des Opfers ausfüllen, um ihre Legitimität zu erhöhen.
Trickreiche Versteck-Techniken
Das Kit verfügt über ausgefeilte Schutzmaßnahmen, die verhindern sollen, dass Sicherheitsforscher oder automatische Systeme es analysieren können. Es nutzt unter anderem Verkehrsfilter und Cloudflare Turnstile-Prüfungen, um sicherzustellen, dass nur gezielt Opfer mit bestimmten Merkmalen auf die gefälschten Anmeldeseiten weitergeleitet werden. Zusätzlich überprüft es, ob jemand versucht, das Kit mit Entwickler-Tools von Webbrowsern zu analysieren, und blockiert solche Versuche aktiv.
Ein auffälliges Merkmal des PhaaS-Tools ist, dass Besucher, deren IP-Adresse auf ein Rechenzentrum, einen Cloud-Anbieter, einen Bot, einen Proxy oder ein VPN hinweist, automatisch über den href[.]li-Umleitungsdienst auf eine Microsoft-bezogene Wikipedia-Seite weitergeleitet werden. Aufgrund dieses Verhaltens hat TRAC Labs dem Kit den Namen „WikiKit“ gegeben.
Laut Sekoia setzt das Sneaky 2FA-Phishing-Kit unscharfe Bilder als Hintergrund auf seinen gefälschten Microsoft-Authentifizierungsseiten ein. Diese Bilder, die Screenshots echter Microsoft-Benutzeroberflächen zeigen, sollen Nutzer dazu verleiten, ihre Anmeldedaten einzugeben, um vermeintlich Zugang zu den unscharfen Inhalten zu erhalten.
Weitere Untersuchungen zeigten, dass das Phishing-Kit mit einem zentralen Server verbunden ist, vermutlich dem Betreiber, der überprüft, ob das Abonnement aktiv ist. Dadurch können nur Kunden mit einem gültigen Lizenzschlüssel das Sneaky 2FA-Kit für Phishing-Kampagnen verwenden. Der Preis für das Kit liegt bei 200 Dollar pro Monat.
Es gibt jedoch noch mehr: Im Quellcode fanden sich Hinweise auf ein Phishing-Syndikat namens W3LL Store. Dieses wurde bereits im September 2023 von Group-IB enttarnt und als Betreiber des Phishing-Kits W3LL Panel sowie weiterer Tools für BEC-Angriffe (Business Email Compromise) identifiziert.
Die Ähnlichkeiten in der AitM-Relay-Implementierung legten zunächst nahe, dass Sneaky 2FA möglicherweise auf dem W3LL Panel basiert. Wie dieses nutzt auch Sneaky 2FA ein Lizenzierungsmodell mit regelmäßigen Prüfungen durch einen zentralen Server.
W3LL und Sneaky 2FA wohl eigenständige Akteure
Trotz dieser Überschneidungen betont Grégoire Clermont, Sicherheitsspezialist bei Sekoia, dass Sneaky 2FA nicht als Nachfolger des W3LL Panels betrachtet werden kann. Die Entwickler hinter dem W3LL Panel arbeiten weiterhin aktiv an ihrem eigenen Phishing-Kit.
„Sneaky 2FA ist ein eigenständiges neues Kit, bei dem jedoch einige Code-Teile von W3LL OV6 wiederverwendet wurden“, erklärt Clermont. „Dieser Quellcode ist leicht zugänglich, da Kunden von W3LL ein verschleiertes Code-Archiv erhalten, das sie auf ihren eigenen Servern hosten können. In den letzten Jahren sind außerdem mehrere entschleierte oder geknackte Versionen von W3LL im Umlauf gewesen.“
Interessant ist, dass einige der Sneaky-2FA-Domains zuvor mit bekannten AitM-Phishing-Kits wie Evilginx2 und Greatness verknüpft waren. Dies deutet darauf hin, dass einige Cyberkriminelle inzwischen auf den neuen Dienst umgestiegen sind.
Die Sekoia-Forscher erklären, dass das Phishing-Kit je nach Schritt im Authentifizierungsprozess unterschiedliche, fest programmierte User-Agent-Strings für die HTTP-Anfragen verwendet. Dieses Verhalten ist ungewöhnlich, da bei einer echten Benutzerauthentifizierung normalerweise alle Schritte über denselben Webbrowser durchgeführt werden.
Zwar können User-Agent-Wechsel in legitimen Fällen vorkommen, etwa wenn eine Desktop-Anwendung einen Webbrowser oder WebView öffnet, um die Multi-Faktor-Authentifizierung (MFA) abzuwickeln. Doch die spezifische Abfolge von User-Agents, die Sneaky 2FA verwendet, ist untypisch und entspricht keinem realistischen Szenario. Dadurch lässt sich das Kit zuverlässig erkennen.