في خطوة جديدة تهدد عالم الأمن السيبراني، كشف باحثون في هذا المجال عن مجموعة تصيد احتيالي جديدة تُعرف باسم “سنيكي 2FA”، تستهدف حسابات مايكروسوفت 365 بهدف سرقة بيانات الاعتماد وأكواد المصادقة الثنائية (2FA). تم رصد هذه المجموعة لأول مرة في ديسمبر من قبل شركة الأمن السيبراني الفرنسية “سيكويا”. حتى الآن، تم تحديد ما يقارب 100 نطاق يستضيف صفحات تصيد احتيالي باستخدام مجموعة “سنيكي 2FA”، مما يشير إلى اعتماد معتدل من قبل جهات التهديد.
التحليل العميق والسياق
تُباع مجموعة التصيد هذه كخدمة تصيد احتيالي (PhaaS) تحت اسم “سنيكي لوج”، وتعمل عبر بوت متكامل على تطبيق تيليجرام. العملاء يحصلون على نسخة مرخصة ومشفرة من الكود المصدري، مما يتيح لهم نشرها بشكل مستقل. تركز الحملات التصيدية على إرسال رسائل بريد إلكتروني تتعلق بإيصالات الدفع لإغراء المستلمين بفتح مستندات PDF زائفة تحتوي على رمز QR، والذي عند مسحه يوجههم إلى صفحات “سنيكي 2FA”.
تستضيف الصفحات التصيدية عادة على بنية تحتية مخترقة، تتضمن مواقع ووردبريس وغيرها من النطاقات التي يسيطر عليها المهاجم. تم تصميم صفحات المصادقة الزائفة لملء عنوان البريد الإلكتروني للضحية تلقائيًا لزيادة الشرعية.
الأثر وتداعيات الأمن السيبراني
يتضمن “سنيكي 2FA” عدة تقنيات مضادة للروبوتات والتحليل، مثل تصفية المرور وتحديات “كلاودفلير ترنستايل”، لضمان توجيه الضحايا الحقيقيين فقط إلى صفحات سرقة البيانات. كما أنه يجري سلسلة من الفحوصات لاكتشاف ومحاولة مقاومة التحليل باستخدام أدوات المطورين في المتصفح.
الجانب البارز في الخدمة هو توجيه الزوار من مراكز البيانات أو مقدمي الخدمات السحابية أو الروبوتات أو الوكلاء أو شبكات VPN إلى صفحة ويكيبيديا المتعلقة بمايكروسوفت باستخدام خدمة إعادة التوجيه href[.]li. هذا دفع مختبرات TRAC لتسميته “ويكي كيت”.
رؤى الخبراء والتوسع
أظهرت التحقيقات أن مجموعة التصيد تعتمد على فحص مع خادم مركزي، على الأرجح المشغل، للتأكد من أن الاشتراك نشط. يشير ذلك إلى أن العملاء الذين لديهم مفتاح ترخيص صالح هم فقط من يمكنهم استخدام “سنيكي 2FA” لتنفيذ حملات التصيد. تُعلن المجموعة بسعر 200 دولار شهريًا.
كشفت التحقيقات أيضًا عن إشارات إلى مجموعة تصيد تُدعى “W3LL Store”، والتي تم الكشف عنها سابقًا في سبتمبر 2023 بواسطة Group-IB، ويُعتقد أنها وراء مجموعة تصيد تُعرف باسم “W3LL Panel”. تثير أوجه التشابه هذه إمكانية أن يكون “سنيكي 2FA” مستندًا إلى “W3LL Panel”.
نقاش وتحفيز التفكير
في تطور مثير، ارتبطت بعض نطاقات “سنيكي 2FA” سابقًا بمجموعات تصيد معروفة مثل “إيفلجينكس 2” و”جريتنس”، مما يشير إلى أن بعض المجرمين السيبرانيين قد انتقلوا إلى الخدمة الجديدة.
تمثل هذه التطورات تهديدًا جديدًا في عالم الأمن السيبراني، مما يثير التساؤلات حول كيفية تحسين دفاعاتنا ضد مثل هذه الهجمات المعقدة. كيف يمكن للشركات تعزيز أمنها السيبراني بطرق مبتكرة لمواجهة هذا النوع من التهديدات المتطورة؟
شاركنا رأيك بتعليق