Bộ công cụ phishing mới mang tên “Sneaky 2FA” đã được phát hiện, với khả năng đánh cắp thông tin đăng nhập và mã xác thực hai yếu tố (2FA) từ tài khoản Microsoft 365. Được cung cấp dưới dạng dịch vụ phishing-as-a-service (PhaaS), công cụ này đã xuất hiện từ tháng 10 năm 2024 và được phát triển bởi nhóm tội phạm mạng “Sneaky Log.”
Sneaky 2FA hoạt động thông qua các trang phishing giả mạo giao diện Microsoft, được lưu trữ trên các website WordPress bị tấn công. Công cụ này sử dụng các email giả dạng thông báo hóa đơn, đính kèm mã QR để dẫn nạn nhân đến trang đăng nhập giả mạo. Các trang này tự động điền email nạn nhân nhằm tăng độ tin cậy và đánh lừa họ nhập thông tin cá nhân.
Để tránh bị phát hiện, Sneaky 2FA tích hợp nhiều biện pháp chống phân tích và chống bot, như lọc lưu lượng truy cập và sử dụng Cloudflare Turnstile. Những địa chỉ IP từ proxy, VPN, hoặc trung tâm dữ liệu sẽ bị chuyển hướng đến trang Wikipedia liên quan đến Microsoft, thay vì trang phishing.
Bộ công cụ Sneaky 2FA được cung cấp với giá 200 USD mỗi tháng trên Telegram, yêu cầu kiểm tra giấy phép thông qua máy chủ trung tâm để đảm bảo chỉ những khách hàng hợp lệ mới sử dụng được. Đáng chú ý, một số tên miền của Sneaky 2FA trước đây từng được liên kết với các bộ công cụ AitM khác như Evilginx2.
Sneaky 2FA nổi bật với việc sử dụng chuỗi User-Agent khác nhau trong từng bước xác thực, điều này không phổ biến ở các quy trình đăng nhập hợp lệ. Đây là dấu hiệu giúp các nhà nghiên cứu nhận diện được hoạt động phishing và cảnh báo về mức độ nguy hiểm của bộ công cụ này.
