Mamba 2FA olarak adlandırılan bir hizmet olarak kimlik avı (PhaaS) kiti, çeşitli ikna edici ortadaki rakip (AitM) kılıklarını kullanarak Microsoft 365 kullanıcılarını hedefliyor.
Sekoia Tehdit Tespit ve Araştırma (TDR) ekibine göre, yeraltı siber suç forumlarında ayda 250 dolara satılan kit, şüphelenmeyen kullanıcılara bir dizi sahte giriş sayfası sunabiliyor. OneDrive’ı, bir SharePoint Online güvenli bağlantısını veya genel bir Microsoft oturum açma sayfasını taklit edebilir; veya kullanıcıya, tıklamanın ardından oturum açma sayfasına yönlendiren sözde bir sesli posta alma bağlantısı gösterebilir.
Her durumda, logolar ve arka plan görüntüsü de dahil olmak üzere kurumsal hedeflerin markasını dinamik olarak yansıtır.
Sekoia’ya göre Mamba 2FA, tek seferlik kodları ve uygulama bildirimlerini kullanan iki faktörlü kimlik doğrulama (2FA) yöntemlerini geride bırakıyor; Entra ID, AD FS, üçüncü taraf SSO sağlayıcıları ve tüketici Microsoft hesaplarını destekler; ve bir Telegram botu aracılığıyla saldırgana anında gönderilen kimlik bilgilerini ve çerezleri toplar.
Sekoia’ya göre “Mamba 2FA’nın reklamı en azından Mart ayından beri Telegram’da yapılıyor” analiz Bu hafta. “Ancak, genel URL ve dosya analizi sanal alanlarından elde edilen verilere göre kit, Kasım 2023’ten bu yana kimlik avı kampanyalarında kullanılıyor. Hizmetin operatörü, bu mesajlaşma platformu Haziran 2024’te kapanana kadar ICQ’da uzun süredir varlığını sürdürüyordu ve Mamba 2FA’nın Telegram’a geçmeden önce esas olarak satıldığı yer burası olabilir.”