Това не е изскачащ прозорец – това е просто един

Потокът от автоматизирани услуги за кражба на идентификационни данни продължава да става все по-усъвършенстван, а в схемите, предопределени за всеобщо разпространяване, се появяват нови трикове. Един подобен набор от принадлежности, Sneaky 2FA, е модернизиран по подобен метод, че да подправя детайлите на браузъра и да маскира злонамерените страници като същински прозорци за регистриране. Този дизайн затруднява разпознаването на подправянето и оказва помощ на нападателите да събират пароли и входни данни, като употребяват най-малък набор от умения.

Екипът на Push Security заяви, че Sneaky 2FA към този момент употребява техниката „ браузър в браузъра “. Тя се основава на симулиран изскачащ прозорец за вход, който образно възпроизвежда общоприетия механизъм за засвидетелствуване в браузъра. Това се реализира посредством потребление на HTML и CSS съставни елементи, които образуват подправен прозорец, в който се отваря рамка със наличие, хоствано на сървъра на нападателя. От външната страна се генерира достоверен низ от адреси, което кара потребителя да наподобява, че въвеждането на данни се прави на публична страница на Microsoft.

Според наблюденията на Push Security един от разпознатите сюжети стартира с пренасочване към подозрителния запас „ previewdoc.us “, където се демонстрира инспекцията Cloudflare Turnstile. След прекосяване на отбраната се появява страница, предлагаща отваряне на PDF файл посредством бутон за обзор посредством акаунт в Microsoft. Кликването върху него започва прозорец, който наподобява на брандиран формуляр за оторизация, само че в действителност е подправен – цялата въведена информация се изпраща на нападателя, който по-късно получава достъп до непознат акаунт.

За да се усложни анализът, механизмите за сигурност се употребяват за блокиране на опитите за проучване на кода на страницата. Sneaky 2FA употребява скриптове за замаскиране, деактивира инструментите за разработчици в браузъра и неотложно трансформира домейните, с цел да понижи възможностите за разкриване. Освен това се ползват ограничавания на изискванията за зареждане: лъжливите страници се демонстрират единствено на определени получатели, а останалите се пренасочват към неутрални уеб сайтове. Тези ограничения оказват помощ да се скрие инфраструктурата и да се попречи на механизмите за сигурност да получат наличието на подправените страници.

Специалистите на Sekoia по-рано означиха, че създателите на Sneaky 2FA интензивно създават услугата и я приспособяват към изменящата се среда. Подходът удостоверява общата наклонност: фишинг услугите се трансформират в професионални платформи, а схемите за кражба на данни от ден на ден разчитат на замяна на наличието и образна дегизировка. Push Security акцентира, че офанзивите, насочени към идентичността, остават най-разпространеният способ за компрометиране, а напредъкът на сходни принадлежности усилва рисковете за потребителите на корпоративни системи.