صعود Mamba 2FA - تهديد جديد في هجمات التصيد الاحتيالي

كل يومين وأنت تقوم بتسجيل الدخول إلى Microsoft 365. تتلقى رسالة بريد إلكتروني تحتوي على رابط OneDrive مألوف. يبدو كل شيء شرعيًا: شعار Microsoft موجود، ونموذج تسجيل الدخول يبدو احترافيًا. تقوم بإدخال بيانات الاعتماد الخاصة بك، ولكن هناك شيء يبدو سيئًا.

بعد لحظات، يتم حظر دخولك إلى حسابك، بينما يقوم شخص آخر بتسجيل الدخول من جهاز مختلف، متجاوزًا المصادقة متعددة العوامل (MFA). مرحبًا بكم في عالم Mamba2fa، وهي حملة تصيد متطورة اكتشفها فريق Sekoia للكشف عن التهديدات والأبحاث (TDR) في منتصف عام 2024.

كشف النقاب عن مامبا 2FA

في مايو 2024، اكتشف فريق TDR في Sekoia مخططًا للتصيد الاحتيالي يستخدم مرفقات HTML لسرقة بيانات اعتماد Microsoft 365. لم تكن محاولات التصيد هذه نموذجية على الإطلاق. لقد تجاوزوا بعض حماية MFA واستخدموا WebSockets، مما سمح بالاتصال في الوقت الفعلي بين صفحة التصيد الاحتيالي وخوادم المهاجمين.

الخصائص الرئيسية لمامبا 2FA

تم تصميم Mamba 2FA ليكون قابلاً للتكيف ويصعب اكتشافه. إليك ما يميزها:

1. بنية عناوين URL وأسماء النطاقات: تتبع عناوين URL المخادعة نمطًا محددًا. إذا كانت السلسلة المشفرة غير صالحة، يرى المستخدمون صفحة فارغة، مما يؤدي إلى إحباط الاكتشاف التلقائي. إذا حاولت أدوات الأمان الوصول إلى الصفحة، فسيتم إعادة توجيهها إلى صفحة غير ضارة، مثل صفحة خطأ 404 من Google.
2. تخصيص صفحة التصيد الاحتيالي: يمكن لـ Mamba 2FA محاكاة العديد من خدمات Microsoft (مثل OneDrive و SharePoint) استنادًا إلى معايير URL، مما يجعل من الصعب على المستخدمين التمييز بين المواقع الشرعية ومحاولات التصيد الاحتيالي.
3. التهرب من المصادقة متعددة العوامل: تستهدف المجموعة أساليب MFA الضعيفة، بما في ذلك كلمات المرور لمرة واحدة (OTPs). بمجرد أن يرسل المستخدم رمز MFA، يستلمه المهاجمون على الفور ويمكنهم تسجيل الدخول إلى حساب الضحية.
4. التهرب المتقدم من الاكتشاف: تم تصميم خوادم Mamba 2FA للتهرب من صناديق الحماية الأمنية، حيث تكتشف أنشطة الروبوتات وتعيد توجيهها، مما يعزز مرونتها ضد الاكتشاف الآلي.

تسويق التصيد الاحتيالي كخدمة

يتم تسويق Mamba 2FA على منصات مثل Telegram كنموذج للتصيد الاحتيالي كخدمة (PhaaS). مقابل 250 دولارًا شهريًا، يمكن لمجرمي الإنترنت إنشاء روابط تصيد وتوزيع مرفقات HTML، مما يقلل من الحاجز أمام هجمات التصيد الاحتيالي المعقدة. يمكّن هذا النموذج نطاقًا أوسع من المهاجمين من المشاركة في أنشطة التصيد الاحتيالي في الوقت الفعلي.

التهديدات المخفية لمرفقات HTML

إحدى الميزات المميزة لـ Mamba 2FA هي استخدامها لمرفقات HTML في رسائل البريد الإلكتروني المخادعة. تحتوي هذه الملفات على JavaScript مخفي يعيد توجيه المستخدمين إلى صفحة التصيد الاحتيالي. يبدو HTML غير ضار ومليء بنصوص وصور حميدة، بينما يضمن مقتطف من JavaScript المشفر وصول المستخدم إلى موقع التصيد الاحتيالي.

التهديدات المتطورة والتدابير الدفاعية

منذ اكتشافها، خضعت Mamba 2FA للعديد من التعديلات لتجنب الاكتشاف. للدفاع ضدها، يجب على المنظمات:

1. تعزيز سياسات MFA: استخدم أساليب MFA المقاومة للتصيد الاحتيالي، مثل الرموز المميزة للأجهزة والأساليب القائمة على التطبيقات باستخدام Fido2/WebAuthn.
2. مراقبة عناوين URL المشبوهة: وضع قواعد الكشف لأنماط عناوين URL المحددة والمعلمات المرتبطة بـ Mamba 2FA.
3. تثقيف الموظفين: يمكن أن يساعد التدريب المنتظم المستخدمين على التعرف على محاولات التصيد الاحتيالي وتجنب النقر على الروابط المشبوهة.
4. تنفيذ تصفية عناوين URL: يمكن لحلول تصفية عناوين URL المتقدمة حظر النطاقات الضارة المعروفة وتدوير عناوين URL بسرعة.

‍

الخاتمة

Mamba 2FA عبارة عن منصة تصيد سريعة التطور، تمثل تهديدًا كبيرًا لكل من الأفراد والمؤسسات. يجعل نموذجها القائم على الاشتراك من السهل حتى على المهاجمين ذوي المهارات المنخفضة تنفيذ مخططات التصيد المعقدة. يعد البقاء يقظًا واستخدام أساليب MFA المقاومة للتصيد خطوات حاسمة في مكافحة هذا التهديد المستمر.