Sneaky2FA钓鱼工具包新增浏览器内嵌浏览器技术以窃取微软365会话
概述 Sneaky2FA钓鱼即服务平台为其微软365凭证窃取工具包增加了一项重要新功能:浏览器内嵌浏览器伪造登录窗口。这一增强显著提高了钓鱼攻击的真实性,使攻击者能够窃取密码和活动的认证会话,即使在启用了多因素认证的情况下也是如此。
Push Security的最新分析显示,Sneaky2FA与Tycoon2FA和Mamba2FA一同成为最新采用更先进、可绕过MFA的社会工程策略的PhaaS服务。
BitB为Sneaky2FA带来的能力 Sneaky2FA已经是一个复杂的工具包,以其以下特点而闻名:
- 基于SVG的钓鱼页面
- 攻击者中间人反向代理
- 会话令牌盗窃,而不仅仅是密码捕获
但BitB伪造弹窗的加入为其攻击带来了新层次的视觉欺骗。
BitB工作原理 BitB最初由研究员mr.d0x在2022年作为概念提出,它在原始浏览器页面内渲染一个伪造的登录窗口。它:
- 模仿独立的浏览器弹窗
- 显示展示合法域名(例如login.microsoftonline.com)的伪造URL地址栏
- 样式设计完美匹配受害者的操作系统和浏览器(Windows上的Edge,macOS上的Safari)
- 使用iframe托管恶意的登录表单
由于伪造的URL地址栏看起来真实,受害者相信他们正在将凭证直接输入到官方的微软弹窗中。
内部窥探:Sneaky2FA攻击链 当前的攻击链包括:
- 受害者收到托管在previewdoc[.]com上的钓鱼链接。
- 他们通过Cloudflare Turnstile机器人检查,增加了信任度并避开了自动扫描器。
- 系统提示他们“使用微软登录”以查看文档。
- 点击登录按钮触发BitB伪造登录弹窗。
- Sneaky2FA在弹窗内加载其反向代理的微软登录流程,窃取:
- 微软365凭证
- 活动会话令牌(绕过MFA)
- 攻击者立即认证进入受害者账户。
在此,BitB主要是一个装饰层,它极大地提高了Sneaky2FA的AitM基础设施的可信度。
隐身与规避能力 Sneaky2FA的钓鱼基础设施经过高度优化,以规避浏览器防护、扫描器和安全爬虫。 Push Security强调了几种规避技术:
- 条件加载(机器人和研究人员会得到良性页面)
- HTML/JS混淆,例如在UI文本中插入不可见字符
- 微软界面元素存储为编码图像,而非文本
- 根据操作系统、浏览器和屏幕尺寸动态调整
- 基于会话的逻辑以避免自动检测和指纹识别
这些页面旨在使标准的反钓鱼解决方案几乎无法检测。
如何识别伪造的BitB弹窗 由于BitB弹窗看起来极其逼真,Push Security推荐两种关键的检测方法:
- 尝试将窗口拖出父浏览器:真正的浏览器弹窗是一个单独的操作系统级窗口。伪造的BitB弹窗无法离开原始页面的边界。
- 检查任务栏:真正的弹窗窗口会创建一个单独的浏览器实例图标。伪造的BitB弹窗则不会。
上升趋势:PhaaS平台中的BitB Sneaky2FA并非第一个采用BitB的工具包。Push Security指出其在以下工具中广泛采用:
- Raccoon0365 / Storm-2246(最近被微软和Cloudflare捣毁)
- Tycoon2FA
- Mamba2FA
这三者都以微软365为目标,因为它能为攻击者提供高价值的访问权限。BitB的集成标志着PhaaS服务向抗MFA钓鱼的更广泛转变,利用反向代理和逼真的UI欺骗来攻破企业云账户。