Главная страница » IOC
0
30 дней
IOC

Растущая опасность поддельных 2FA для учетных записей Microsoft и Gmail

phishing

Фишинговый набор Sneaky 2FA, также известный как Tycoon 2FA, представляет собой платформу Phishing-as-a-Service (PhaaS), которая с августа 2023 года активно атакует аккаунты Microsoft 365 и Gmail. Этот набор позволяет злоумышленникам обходить двухфакторную аутентификацию (2FA) путем перехвата учетных данных и куки-файлов сессии. Платформа доступна для широкого круга злоумышленников через полнофункционального бота в Telegram.

Sneaky 2FA

Фишинговый набор Sneaky 2FA использует различные методы атаки. Злоумышленники отправляют фишинговые электронные письма с QR-кодами или вредоносными ссылками, направляющими жертв на поддельные страницы аутентификации, которые имитируют легитимные порталы Microsoft 365 или Gmail. После ввода учетных данных и кодов 2FA на этих страницах, набор перехватывает информацию, позволяя злоумышленникам получить несанкционированный доступ к учетным записям. Набор Sneaky 2FA также использует различные антианалитические меры, такие как фильтрация трафика и вызовы Cloudflare Turnstile, чтобы избежать обнаружения.

Векторы атаки, используемые фишинговым набором Sneaky 2FA, включают метод "противник посередине", в котором перехватывается информация о учетных данных и кодах 2FA, а также использование вредоносных QR-кодов в фишинговых электронных письмах. Злоумышленники также используют взломанные веб-сайты, особенно сайты, построенные на базе WordPress, для размещения поддельных страниц аутентификации. Кроме того, набор Sneaky 2FA крадет сессионные куки-файлы, что позволяет злоумышленникам сохранять постоянный доступ к учетным записям жертв. Фишинговые страницы, созданные этим набором, также используют различные методы обфускации, чтобы затруднить обнаружение и анализ.

В целом, фишинговый набор Sneaky 2FA позволяет злоумышленникам эффективно атаковать аккаунты Microsoft 365 и Gmail, обходя двухфакторную аутентификацию и получая несанкционированный доступ к учетным записям. Набор использует разнообразные методы атаки, включая фишинговые письма с QR-кодами, использование взломанных веб-сайтов и кражу сессионных кук. Комбинация антианалитических мер и обфускации позволяет ему успешно избегать обнаружения и анализа.

Indicators of Compromise

IPv4

  • 101.99.92.124
  • 185.125.100.81

Domains

  • africanagrirnarket.com
  • alliedhealthcaresolution.com
  • allorganichome.com
  • allorganicitems.com
  • allorginichomes.xyz
  • apppowerappsportals.top
  • auxin.co.in
  • aweitapp.com
  • baptihealth.com
  • bhlergroup.com
  • carpetcleaningmanitoba.ca
  • cchosting.co.za
  • claytoncontsruction.net
  • cnphys.com
  • coysem.com
  • desirenetwork.in
  • docsafybeifur2mabbggrihscauthenticnotes.online
  • docuinshare.top
  • dolh6growth.online
  • drgoelsdmd.com
  • drop-project.top
  • emailsay.com
  • emea-nec.com
  • erhakalip.com
  • eto1908.org
  • files42.com
  • florenceorganics.us
  • forcainvicta.com.br
  • funnelflex.co
  • glamorouslengths.su
  • globalservicesqtr.com
  • greyscaleal.com
  • guardiansresearch.org
  • historischeverenigingmarum.online
  • intertrustsgroup.com
  • iziloyer.com
  • kagumigroup.id
  • leanstartupatelier.co
  • loginoffice365commonauth00000365user1153196333.empreendendocomgrafica.com
  • loginoffice365commonauth00000365user6867620079.empreendendocomgrafica.com
  • lovencareurology.in
  • matcocomponent.com
  • may-april.com
  • meliorahospital.com
  • metin2odisey.com
  • ms-consulting-dom.fr
  • mscserv.com
  • mysilverfox.com.my
  • nashnights.com
  • o7t5dgbx-staging.dreamwp.com
  • oempcworlds.org
  • ohconnects.org
  • ol.advanceplastics-ke.com
  • omnirayoprah.cfd
  • organichoicehome.com
  • outsourcel.com.au
  • pipaltree.ngo
  • portalpowerfiles.top
  • portalpowerstorages.top
  • powa.co.zw
  • printserve.co.ke
  • profitminers.in
  • reintergestna.org
  • reliant-rehabs.com
  • rockandrevenue.com
  • rurrasqueamos.click
  • senangwasap.com
  • snatched-beautybar.com
  • sneakylog.store
  • stillmanconsulting.net
  • storageorder.sbs
  • sukrajclasses.com
  • sysarchirnc.com
  • tesla-apply-job.com
  • thewoodlandretreat.in
  • thumenectrics.es
  • tvsyndciate.com
  • unalkardesler.net
  • urbanumbrella.org
  • usfightingsystems.com
  • vlsbali.com
  • webitww.com
  • welcomehomeproject.org
  • windstreaim.com
  • wordtex.com
  • wwgle.com
  • www.fabribat.com
  • www.northernaid.org
  • yaharaho.com
  • yogatrapezepoint.com
  • yugaljeeautomotive.com
  • yushengusa.com
Комментарии: 0
Похожие записи
0
15 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
3 дня
IOC

Тенденции в области фишинговых писем в феврале 2025 года

phishing
Наиболее распространенной угрозой среди вложений фишинговых писем был фишинг, при котором использовались скрипты, чтобы подделать страницы входа в систему и привлечь пользователей к вводу своих учетных данных.
0
10 дней
IOC

Постоянные фишинговые атаки JavaGhost из облака

phishing
Группа злоумышленников JavaGhost, известная своей активностью в киберпространстве, продолжает использовать облачные среды для проведения фишинговых кампаний, с целью вымогательства финансовой выгоды.