来自 Sneaky Log 的网络钓鱼即服务工具包会创建虚假的验证页面来获取账户信息，包括双因素安全代码。

法国Sekoia公司1月16日宣布，该公司的安全研究人员在2024年12月检测到了一种新的针对微软365账户的网络钓鱼即服务工具包。

这个名为Sneaky 2FA的工具包是由威胁代理服务Sneaky Log通过Telegram发布的。它与大约 100 个域相关联，至少从 2024 年 10 月起就一直处于活跃状态。

Sneaky 2FA是一种 “中间对手 ”攻击，即拦截两台设备之间发送的信息：在本例中，拦截的是一台装有微软365的设备和一台网络钓鱼服务器。Sneaky 2FA属于商业电子邮件泄露攻击。

Sekoia分析师Quentin Bourgue和Grégoire Clermont在该公司对此次攻击的分析中写道：“与AiTM网络钓鱼和商业电子邮件泄露（BEC）攻击相关的网络犯罪生态系统正在不断演变，威胁行为者伺机从一个PhaaS平台迁移到另一个平台，据说是基于网络钓鱼服务的质量和有竞争力的价格。”

Sneaky 2FA网络钓鱼即服务工具包是如何工作的？

Sneaky Log 通过 Telegram 上的聊天机器人销售网络钓鱼工具包。一旦客户付款，Sneaky Log 就会提供 Sneaky 2FA 源代码的访问权限。Sneaky Log 使用被入侵的 WordPress 网站和其他域来托管触发网络钓鱼工具包的页面。

骗局包括向潜在受害者展示一个虚假的微软认证页面。然后，Sneaky 2FA会显示一个带有 “验证您是人类 ”提示框的Cloudflare Turnstile页面。

如果受害者提供了账户信息，他们的电子邮件和密码就会被发送到钓鱼服务器。Sneaky Log 服务器会检测 Microsoft 365 账户的可用 2FA 方法，并提示用户按照这些方法操作。

用户将被重定向到一个真实的 Office365 URL，但网络钓鱼服务器现在可以通过 Microsoft 365 API 访问用户的账户。

如果钓鱼网站的访问者是机器人、云提供商、代理、VPN、来自数据中心或使用 “与已知滥用相关 ”的 IP 地址，则页面会重定向到与微软相关的维基百科条目。安全研究团队 TRAC Labs 于 2024 年 12 月在一个名为 WikiKit 的网络钓鱼计划中发现了类似的技术。

Sekoia 指出，Sneaky Log 的工具包与风险平台公司 Group-1B 于 2023 年 9 月发现的另一个网络钓鱼工具包共享一些源代码。该工具包与一个名为 W3LL 的威胁行为者有关。

Sneaky Log 以每月 200 美元的价格出售 Sneaky 2FA，以加密货币支付。Sekoia 表示，这比 Sneaky Log 的犯罪竞争对手提供的工具包要便宜一些。

如何检测和减少鬼鬼祟祟的 2FA

Sekoia 说，与 Sneaky 2FA 相关的活动可以在用户的 Microsoft 365 审计日志中检测到。

特别是，安全研究人员在调查网络钓鱼企图时，可能会发现在身份验证流程的每个步骤中，HTTP请求的User-Agent字符串都是不同的硬编码。如果用户身份验证步骤是良性的，就不太可能出现这种情况。

Sekoia 发布了一条 Sigma 检测规则，该规则 “查找 iOS 平台 Safari 用户代理的 Login:login 事件和 Windows 平台 Edge 用户代理的 Login:resume 事件，这两个事件具有相同的相关 ID，并且在 10 分钟内发生。”

安全专业人员可以提醒员工避免与可疑电子邮件互动，包括那些听起来很紧急或可怕的电子邮件。Sekoia 在一封名为 “Final Lien Waiver.pdf ”的恶意电子邮件附件中发现了 Sneaky 2FA，该附件包含一个二维码。二维码中嵌入的URL指向一个被入侵的页面。

近期针对微软的其他网络钓鱼企图

微软的无处不在使其成为威胁行为者的大本营，无论他们是直接实施攻击还是出售网络钓鱼即服务工具。

2023 年，微软的威胁情报团队披露了一个针对 Office 或 Outlook 等服务的网络钓鱼工具包。同年晚些时候，Proofpoint 揭开了 ExilProxy 的面纱，这是一款可以绕过双因素身份验证的网络钓鱼工具包。

2024 年 10 月，Check Point 向微软产品用户发出警告，提醒他们防范试图窃取账户信息的复杂模仿者。