Sneaky2FAフィッシング・アズ・ア・サービス(PhaaS)キットに、Browser-in-the-Browser(BitB)機能が追加され、Microsoftの認証情報とアクティブセッションを盗む攻撃に利用されています。
Sneaky2FAは、Tycoon2FAやMamba2FAと並んで現在広く使われているPhaaSプラットフォームであり、主にMicrosoft 365アカウントを標的としています。
このキットは、SVGベースの攻撃や、認証プロセスをフィッシングページ経由で正規サービスにプロキシし、有効なセッショントークンを攻撃者に中継する「攻撃者インザミドル(AitM)」戦術で知られていました。
Push Securityのレポートによると、Sneaky2FAは現在、正規のMicrosoftログインウィンドウを模倣したBitBポップアップを追加しています。欺瞞性を高めるため、この偽のサインインページは被害者のOSとブラウザに合わせて動的に調整されます。
攻撃者が認証情報とアクティブなセッショントークンを盗み出すと、二要素認証(2FA)が有効な状態でも被害者のアカウントに認証してアクセスすることが可能になります。
BitBは、2022年に研究者mr.d0xが考案したフィッシング手法で、その後、脅威アクターによって実際の攻撃に採用され、FacebookやSteamアカウントなど、さまざまなサービスが標的となっています。
攻撃中、攻撃者が制御するウェブページにアクセスしたユーザーは、ログインフォーム付きの偽のブラウザポップアップウィンドウを目にします。
このポップアップのテンプレートはiframeで構成されており、正規サービスの認証フォームを模倣しつつ、特定のURLやウィンドウタイトルでカスタマイズできます。
偽ウィンドウには、標的サービスの公式ドメインアドレスが表示されたURLバーがあるため、信頼できるOAuthポップアップのように見えます。
Sneaky2FAの場合、被害者は「previewdoc[.]com」上のフィッシングリンクを開き、Cloudflare Turnstileによるボットチェックを通過した後、文書を閲覧するためにMicrosoftでサインインするよう促されます。
出典: Push Security
「Sign in with Microsoft」オプションがクリックされると、偽のBitBウィンドウが表示され、偽のMicrosoft URLバーが含まれ、Windows上のEdgeやmacOS上のSafariに合わせてサイズやスタイルが調整されます。
偽ポップアップの内部では、Sneaky2FAがリバースプロキシ型のMicrosoftフィッシングページを読み込み、実際のログインフローを利用して、AitMシステム経由でアカウントの認証情報とセッショントークンの両方を盗み取ります。
出典: Push Security
本質的に、BitBはSneaky2FAが既に持つAitM機能の上に重ねられた見た目上の欺瞞レイヤーとして機能し、攻撃チェーンにさらなるリアリティを与えています。
このフィッシングキットは条件付きロードも利用しており、ボットや研究者を代わりに無害なページへ誘導します。
Push Securityは、これらのフィッシングサイトは回避を念頭に作られており、アクセスしても警告が出にくいと報告しています。
「Sneaky2FAページのHTMLとJavaScriptは、静的検出やパターンマッチングを回避するために高度に難読化されています。例えば、UIテキストを不可視タグで分割したり、背景やインターフェース要素をテキストではなくエンコードされた画像として埋め込んだり、ユーザーには見えないものの、スキャニングツールがページのフィンガープリントを取りにくくなるような変更が加えられています」と、研究者らは説明しています。
ポップアップのログインフォームが本物かどうかを見分ける1つの方法は、それを元のブラウザウィンドウの外側へドラッグしてみることです。iframeは親ウィンドウに紐づいているため、これは不可能です。
さらに、正規のポップアップは、別個のブラウザインスタンスとしてタスクバーに表示されます。
BitBのサポートは、Raccoon0365/Storm-2246と呼ばれる別のPhaaSサービスでも確認されており、これはMicrosoft 365の認証情報を数千件盗み出した後、MicrosoftとCloudflareによって最近妨害されました。
