サイバーニュース.jp

世界のサイバーなニュースを配信

Sneaky2FAフィッシングキットが「Browser-in-the-Browser」攻撃を導入しMicrosoft認証情報を狙う

カテゴリ:

Sneaky2FA、新たなBrowser-in-the-Browser攻撃でMicrosoft認証情報を窃取

フィッシング・アズ・ア・サービス(PhaaS)キットであるSneaky2FAが、Browser-in-the-Browser(BitB)攻撃機能を新たに導入し、Microsoftの認証情報とアクティブなセッションの窃取に利用されていることが判明しました。Sneaky2FAは、Tycoon2FAやMamba2FAと並び、主にMicrosoft 365アカウントを標的とする広く利用されているPhaaSプラットフォームの一つです。

これまでの攻撃手法とBitBの追加

これまでSneaky2FAは、SVGベースの攻撃やAttacker-in-the-Middle(AiTM)戦術で知られていました。これらの手法では、正規の認証プロセスがフィッシングページを介してプロキシされ、有効なセッション・トークンが攻撃者に中継されていました。

しかし、Push Securityの報告によると、Sneaky2FAは今回、正規のMicrosoftログイン・ウィンドウを模倣したBitBポップアップを追加しました。この偽のサインイン・ページは、被害者のOSやブラウザに動的に合わせて調整されるため、欺瞞性が一層高まっています。攻撃者が認証情報やアクティブなセッション・トークンを盗み出すことで、二要素認証(2FA)が有効であっても、被害者のアカウントにログインすることが可能になります。

Browser-in-the-Browser (BitB) 攻撃とは

BitBは、2022年に研究者mr.d0x氏によって考案されたフィッシング技術で、FacebookやSteamアカウントなどを標的とした実際の攻撃にも採用されています。この攻撃では、攻撃者が制御するウェブページにアクセスしたユーザーは、ログインフォームが表示された偽のブラウザ・ポップアップ・ウィンドウを目にします。ポップアップのテンプレートはiframeであり、正規サービスの認証フォームを模倣しており、特定のURLやウィンドウ・タイトルに合わせてカスタマイズ可能です。偽のウィンドウには標的とするサービスの公式ドメインアドレスが表示されたURLバーがあるため、信頼できるOAuthポップアップのように見えてしまいます。

Sneaky2FAによるBitB攻撃の詳細

Sneaky2FAの場合、被害者は「previewdoc[.]com」上のフィッシング・リンクを開き、Cloudflare Turnstileのボット・チェックを経た後、ドキュメントを閲覧するためにMicrosoftでのサインインを求められます。「Sign in with Microsoft」オプションがクリックされると、偽のBitBウィンドウがレンダリングされます。このウィンドウには、偽のMicrosoft URLバーが表示され、Windows上のEdgeやmacOS上のSafariに合わせて適切にサイズ調整され、スタイルが適用されます。この偽のポップアップ内部で、Sneaky2FAはリバース・プロキシ型のMicrosoftフィッシング・ページをロードし、実際のログイン・フローを利用してアカウント認証情報とセッション・トークンの両方をAiTMシステムを介して窃取します。

つまり、BitBは既存のSneaky2FAのAiTM機能の上に、外見上の欺瞞層として使用され、攻撃チェーンの現実味を増しています。

高度な回避技術

このフィッシング・キットは条件付きローディングも利用しており、ボットや研究者には無害なページを送信します。Push Securityは、これらのフィッシング・サイトは回避策を念頭に置いて作成されており、アクセスしても警告がトリガーされる可能性は低いと報告しています。研究者たちは次のように説明しています。

  • Sneaky2FAのページのHTMLとJavaScriptは、静的検出やパターン・マッチングを回避するために高度に難読化されています。
  • 例えば、UIテキストを非表示タグで分割したり、背景やインターフェース要素をエンコードされた画像として埋め込んだりするなど、ユーザーには見えない変更が加えられています。
  • これらの変更は、スキャン・ツールがページをフィンガープリントすることを困難にしています。

ユーザーが取るべき対策

ポップアップ・ログイン・フォームが本物かどうかを判断する一つの方法は、それを元のブラウザ・ウィンドウの外にドラッグしてみることです。iframeであるため、これは親ウィンドウにリンクされているため不可能です。さらに、正規のポップアップはタスクバーに別のブラウザ・インスタンスとして表示されます

BitBのサポートは、Raccoon0365/Storm-2246という別のPhaaSサービスでも確認されており、このサービスは最近、MicrosoftとCloudflareによって数千ものMicrosoft 365認証情報を盗んだ後に停止されました。

元記事: https://www.bleepingcomputer.com/news/security/sneaky2fa-phaas-kit-now-uses-redteamers-browser-in-the-browser-attack/

投稿をさらに読み込む