Έχει παρατηρηθεί μια αναδυόμενη πλατφόρμα phishing-as-a-service (PhaaS) που ονομάζεται Mamba 2FA, η οποία στοχεύει λογαριασμούς Microsoft 365 σε επιθέσεις AiTM χρησιμοποιώντας καλοδουλεμένες σελίδες σύνδεσης.
Επιπλέον, το Mamba 2FA προσφέρει στους φορείς απειλών έναν μηχανισμό αντιπάλου στη μέση (AiTM) για να καταγράφουν τα διακριτικά ελέγχου ταυτότητας του θύματος και να παρακάμπτουν τις προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) στους λογαριασμούς τους.
Το Mamba 2FA πωλείται επί του παρόντος σε εγκληματίες του κυβερνοχώρου για 250 $/μήνα, που είναι μια ανταγωνιστική τιμή που το τοποθετεί ανάμεσα στις πιο δελεαστικές και ταχύτερα αναπτυσσόμενες πλατφόρμες phishing στον χώρο.
Ανακάλυψη και εξέλιξη
Το Mamba 2FA ήταν τεκμηριώθηκε για πρώτη φορά από το Any.Run αναλυτές στα τέλη Ιουνίου 2024, αλλά αναφέρει ο Sekoia ότι παρακολουθεί δραστηριότητα που συνδέεται με την πλατφόρμα phishing από τον Μάιο του 2024.
Πρόσθετα στοιχεία δείχνουν ότι το Mamba 2FA υποστηρίζει καμπάνιες phishing από τον Νοέμβριο του 2023, με το κιτ να πωλείται στο ICQ και αργότερα στο Telegram.
Μετά την αναφορά του Any.Run για μια καμπάνια που υποστηρίζεται από το Mamba 2FA, οι χειριστές του κιτ phishing πραγματοποίησαν αρκετές αλλαγές στην υποδομή και τις μεθόδους τους για να αυξήσουν τη μυστικότητα και τη μακροζωία των καμπανιών phishing.
Για παράδειγμα, ξεκινώντας τον Οκτώβριο, το Mamba 2FA παρουσίασε διακομιστές μεσολάβησης που προέρχονται από την IPRoyal, έναν εμπορικό πάροχο, για να κρύψουν τις διευθύνσεις IP των διακομιστών αναμετάδοσης στα αρχεία καταγραφής ελέγχου ταυτότητας.
Προηγουμένως, οι διακομιστές αναμετάδοσης συνδέονταν απευθείας με διακομιστές Microsoft Entra ID, εκθέτοντας τις διευθύνσεις IP και διευκολύνοντας τα μπλοκ.
Οι τομείς συνδέσμων που χρησιμοποιούνται σε διευθύνσεις URL ηλεκτρονικού ψαρέματος είναι πλέον πολύ βραχύβιες και συνήθως εναλλάσσονται σε εβδομαδιαία βάση για να αποφευχθεί ο αποκλεισμός από λύσεις ασφαλείας.
Μια άλλη αλλαγή ήταν η βελτίωση των συνημμένων HTML που χρησιμοποιούνται σε καμπάνιες ηλεκτρονικού ψαρέματος με καλοήθη περιεχόμενο πλήρωσης για την απόκρυψη ενός μικρού αποσπάσματος JavaScript που πυροδοτεί την επίθεση, καθιστώντας δυσκολότερο τον εντοπισμό των εργαλείων ασφαλείας.
«Δαγκώνει» τους χρήστες του Microsoft 365
Το Mamba 2FA έχει σχεδιαστεί ειδικά για να στοχεύει χρήστες υπηρεσιών Microsoft 365, συμπεριλαμβανομένων εταιρικών και καταναλωτικών λογαριασμών.
Όπως και άλλες παρόμοιες πλατφόρμες PhaaS, χρησιμοποιεί ρελέ μεσολάβησης για τη διεξαγωγή επιθέσεων phishing AiTM, επιτρέποντας στους παράγοντες της απειλής να έχουν πρόσβαση σε κωδικούς πρόσβασης μίας χρήσης και cookies ελέγχου ταυτότητας.
Ο μηχανισμός AiTM χρησιμοποιεί τη βιβλιοθήκη JavaScript Socket.IO για να δημιουργήσει επικοινωνία μεταξύ της σελίδας phishing και των διακομιστών αναμετάδοσης στο backend, οι οποίοι με τη σειρά τους επικοινωνούν με τους διακομιστές της Microsoft χρησιμοποιώντας τα κλεμμένα δεδομένα.
Πηγή: Sekoia
Το Mamba 2FA προσφέρει πρότυπα ηλεκτρονικού ψαρέματος (phishing) για διάφορες υπηρεσίες του Microsoft 365, όπως το OneDrive, το SharePoint Online, τις γενικές σελίδες σύνδεσης της Microsoft και τις ψεύτικες ειδοποιήσεις φωνητικού ταχυδρομείου που ανακατευθύνονται σε μια σελίδα σύνδεσης της Microsoft.
Για εταιρικούς λογαριασμούς, οι σελίδες phishing υποθέτουν δυναμικά την προσαρμοσμένη επωνυμία σύνδεσης του στοχευόμενου οργανισμού, συμπεριλαμβανομένων των λογότυπων και των εικόνων φόντου, κάνοντας την προσπάθεια να φαίνεται πιο αυθεντική.
Πηγή: Sekoia
Τα καταγεγραμμένα διαπιστευτήρια και τα cookie ελέγχου ταυτότητας μεταδίδονται στον εισβολέα μέσω ενός bot Telegram, επιτρέποντάς του να ξεκινήσει αμέσως μια περίοδο λειτουργίας.
Το Mamba 2FA διαθέτει επίσης ανίχνευση sandbox, ανακατευθύνοντας τους χρήστες σε ιστοσελίδες Google 404 όταν συμπεραίνει ότι βρίσκεται υπό ανάλυση.
Συνολικά, η πλατφόρμα Mamba 2FA είναι μια ακόμη απειλή για τους οργανισμούς, επιτρέποντας σε φορείς χαμηλής ειδίκευσης να εκτελούν εξαιρετικά αποτελεσματικές επιθέσεις phishing.
Για προστασία από λειτουργίες PhaaS που χρησιμοποιούν τακτικές AiTM, εξετάστε το ενδεχόμενο να χρησιμοποιήσετε κλειδιά ασφαλείας υλικού, έλεγχο ταυτότητας βάσει πιστοποιητικών, γεωγραφικό αποκλεισμό, λίστα επιτρεπόμενων IP, λίστα επιτρεπόμενων συσκευών και μείωση της διάρκειας ζωής των διακριτικών.
VIA: bleepingcomputer.com
