Pesquisadores de cibersegurança detalharam um novo kit de phishing adversário-no-meio (AitM) chamado Sneaky 2FA, que tem como alvo contas do Microsoft 365. O objetivo é roubar credenciais e códigos de autenticação de dois fatores (2FA). Desde pelo menos outubro de 2024, esse kit tem sido utilizado para campanhas maliciosas. O Sneaky 2FA já foi encontrado em quase 100 domínios hospedando páginas de phishing, indicando uma adoção moderada por atores maliciosos. O kit é comercializado como um serviço de phishing (PhaaS, Phishing-as-a-Service) pela operação criminosa chamada Sneaky Log, que opera via um bot no Telegram.

Os clientes recebem acesso a uma versão licenciada e ofuscada do código-fonte, que pode ser implantada de forma independente. As campanhas de phishing associadas ao Sneaky 2FA utilizam e-mails relacionados a falsos recibos de pagamento para enganar as vítimas. Esses e-mails contêm documentos PDF falsos com códigos QR que, ao serem escaneados, redirecionam os usuários para páginas de phishing hospedadas no kit. O kit também inclui medidas avançadas de anti-bot e anti-análise, como filtragem de tráfego e desafios do Cloudflare Turnstile, para garantir que apenas alvos legítimos sejam direcionados para as páginas de coleta de credenciais.

Ele também realiza verificações para resistir a tentativas de análise usando ferramentas de desenvolvimento de navegadores. As páginas falsas do Sneaky 2FA utilizam imagens desfocadas como plano de fundo, simulando interfaces legítimas da Microsoft. O objetivo é enganar os usuários para que autentiquem suas informações acreditando que estão acessando conteúdo legítimo. Uma investigação adicional revelou que o kit verifica com um servidor central se a licença está ativa, indicando que apenas clientes com chaves de licença válidas podem utilizá-lo. O kit é comercializado por US$ 200 por mês.