
Peneliti keamanan siber telah merinci kit phishing musuh di tengah (AitM) baru yang mampu menyerang akun Microsoft 365 dengan tujuan mencuri kredensial dan kode autentikasi dua faktor (2FA) setidaknya sejak Oktober 2024.
Perangkat phishing yang baru lahir ini dijuluki Sneaky 2FA oleh perusahaan keamanan siber Prancis, Sekoia, yang mendeteksinya pada bulan Desember. Hampir 100 domain yang menghosting halaman phishing Sneaky 2FA telah diidentifikasi pada bulan ini, menunjukkan adopsi moderat oleh pelaku ancaman.
“Kit ini dijual sebagai phishing-as-a-service (PhaaS) oleh layanan kejahatan dunia maya 'Sneaky Log,' yang beroperasi melalui bot berfitur lengkap di Telegram,” kata perusahaan itu dalam sebuah analisis. “Pelanggan dilaporkan menerima akses ke versi kode sumber berlisensi yang dikaburkan dan menyebarkannya secara mandiri.”
Kampanye phishing telah diamati mengirimkan email terkait tanda terima pembayaran untuk membujuk penerima agar membuka dokumen PDF palsu yang berisi kode QR yang, setelah dipindai, mengarahkan mereka ke halaman Sneaky 2FA.

Sekoia mengatakan halaman phishing dihosting di infrastruktur yang disusupi, sebagian besar melibatkan situs WordPress dan domain lain yang dikendalikan oleh penyerang. Halaman otentikasi palsu dirancang untuk secara otomatis mengisi alamat email korban untuk meningkatkan legitimasi mereka.
Kit ini juga menawarkan beberapa tindakan anti-bot dan anti-analisis, menggunakan teknik seperti penyaringan lalu lintas dan tantangan Cloudflare Turnstile untuk memastikan bahwa hanya korban yang memenuhi kriteria tertentu yang diarahkan ke halaman pengumpulan kredensial. Selanjutnya menjalankan serangkaian pemeriksaan untuk mendeteksi dan menolak upaya analisis menggunakan alat pengembang browser web.
Aspek penting dari PhaaS adalah pengunjung situs yang alamat IP-nya berasal dari pusat data, penyedia cloud, bot, proxy, atau VPN diarahkan ke halaman Wikipedia terkait Microsoft menggunakan href[.]layanan pengalihan li. Hal ini menyebabkan TRAC Labs memberinya nama WikiKit.
“Kit phishing Sneaky 2FA menggunakan beberapa gambar buram sebagai latar belakang halaman otentikasi Microsoft palsu,” jelas Sekoia. “Dengan menggunakan tangkapan layar antarmuka Microsoft yang sah, taktik ini dimaksudkan untuk menipu pengguna agar mengautentikasi diri mereka sendiri guna mendapatkan akses ke konten yang diburamkan.”

Penyelidikan lebih lanjut mengungkapkan bahwa perangkat phishing bergantung pada pemeriksaan dengan server pusat, kemungkinan besar operator, yang memastikan bahwa langganan aktif. Hal ini menunjukkan bahwa hanya pelanggan dengan kunci lisensi yang valid yang dapat menggunakan Sneaky 2FA untuk melakukan kampanye phishing. Kit ini diiklankan seharga $200 per bulan.
Bukan itu saja. Referensi kode sumber juga telah ditemukan yang menunjuk ke sindikat phishing bernama W3LL Store, yang sebelumnya diungkap oleh Group-IB pada September 2023 sebagai dalang kit phishing yang disebut Panel W3LL dan berbagai alat untuk melakukan serangan kompromi email bisnis (BEC).
Hal ini, bersama dengan kesamaan dalam implementasi relai AitM, juga meningkatkan kemungkinan bahwa Sneaky 2FA mungkin didasarkan pada Panel W3LL. Yang terakhir ini juga beroperasi di bawah model lisensi serupa yang memerlukan pemeriksaan berkala dengan server pusat.

Menariknya, beberapa domain Sneaky 2FA sebelumnya dikaitkan dengan perangkat phishing AitM yang dikenal, seperti Evilginx2 dan Greatness – sebuah indikasi bahwa setidaknya beberapa penjahat dunia maya telah bermigrasi ke layanan baru.
“Kit phishing menggunakan string Agen-Pengguna dengan kode keras yang berbeda untuk permintaan HTTP, bergantung pada langkah alur autentikasi,” kata peneliti Sekoia. “Perilaku ini jarang terjadi pada autentikasi pengguna yang sah, karena pengguna harus melakukan langkah autentikasi secara berurutan dari browser web yang berbeda.”
“Meskipun transisi Agen-Pengguna terkadang terjadi dalam situasi yang sah (misalnya, autentikasi dimulai pada aplikasi desktop yang meluncurkan browser web atau WebView untuk menangani MFA), urutan Agen-Pengguna tertentu yang digunakan oleh Sneaky 2FA tidak sesuai dengan skenario yang realistis, dan menawarkan deteksi kit dengan ketelitian tinggi.”