Threat Spotlight: Analisi di un nuovo kit di phishing furtivo che prende di mira Microsoft 365

Le piattaforme Phishing-as-a-Service (PhaaS) dominano il panorama delle minacce e-mail. Le più importanti sono piattaforme sofisticate e ben finanziate che offrono strumenti, infrastrutture e supporto in cambio di pagamento o di una quota dei profitti. Continuano a evolversi e stanno emergendo nuovi sfidanti in cerca di una quota del denaro.

Gli analisti delle minacce di Barracuda stanno monitorando uno di questi contendenti da luglio 2025. Barracuda ha chiamato questo kit Whisper 2FA a causa del suo approccio furtivo e persistente al furto di credenziali.

Nell'ultimo mese, Barracuda ha rilevato quasi un milione di attacchi Whisper 2FA che hanno preso di mira account in diverse enormi campagne di phishing, il che rende Whisper il terzo PhaaS più comune dopo Tycoon e EvilProxy.

Ci sono somiglianze con Salty 2FA, un nuovo PhaaS incentrato sul furto di credenziali Microsoft 365, riportato recentemente da AnyRun. Entrambi sono raccoglitori di credenziali ben offuscati con funzionalità anti-debugging, anti-analisi e di imitazione del marchio. Il nostro focus in questo articolo è sulle diverse varianti della minaccia, sulla sua rapida evoluzione e sul suo flusso di autenticazione.

Il ciclo di furto delle credenziali

La caratteristica definiva di Whisper 2FA è la sua capacità di rubare credenziali più volte attraverso un loop di esfiltrazione delle credenziali in tempo reale abilitato da una tecnologia web nota come AJAX (Asynchronous JavaScript and XML).

AJAX consente ai siti web di aggiornare le informazioni in tempo reale senza dover ricaricare l'intera pagina. È la tecnologia che rende rapide e fluide funzionalità come la chat dal vivo, i suggerimenti di ricerca istantanei e le dashboard dinamiche.

Gli attaccanti continuano il ciclo finché non ottengono un token di autenticazione multifattoriale valido.

Molteplici esche

Gli analisti delle minacce hanno trovato un'ampia gamma di e-mail di phishing che portano a Whisper 2FA, ruotando marchi noti e affidabili e pretesti urgenti per massimizzare il loro successo.

Di seguito è riportato un'istantanea combinata di quattro recenti esche di phishing legate a Whisper 2FA, con DocuSign, Casella vocale, Adobe e 'Fattura'.

Evoluzione rapida

Il kit di phishing Whisper 2FA sta evolvendo rapidamente sia nella complessità tecnica che nelle strategie anti-rilevamento.

Varianti iniziali

• Il codice sorgente HTML/JavaScript presenta frammenti di testo casuali. Questi includono commenti aggiunti dagli sviluppatori, come riferimenti al fitness o al cibo. Può anche essere una firma personale per lo sviluppatore per dire: Io ho creato questo.
• Il codice è offuscato ma ancora relativamente facile da tracciare. Ci sono meno livelli di codifica rispetto alle varianti più recenti.
• Il codice include controlli per prevenire l'analisi della sicurezza, ma sono meno aggressivi rispetto a quelli visti nelle varianti successive, concentrandosi principalmente sulla disabilitazione del menu contestuale/click destro.

Varianti attuali

• I commenti sono stati rimossi, eliminando i suggerimenti leggibili e rendendo l'analisi statica più difficile.
• L'offuscamento è diventato più denso e multilivello, con funzioni di decodifica Base64 ripetute (il che suggerisce che i dati originali siano stati codificati in stringhe di lettere, numeri e simboli più volte).

• Sono state aggiunte nuove protezioni per rendere più difficile agli attaccanti e ai difensori analizzare o manomettere il sistema. Queste includono trucchi per rilevare e bloccare gli strumenti di debug, disabilitare le scorciatoie usate dagli sviluppatori e far crashare gli strumenti di ispezione manipolando il comportamento del browser.
• Controlli più rigorosi basati sulla sessione e logica di esfiltrazione dell'autenticazione multifattoriale (MFA), in cui i token e le OTP (one-time password) vengono convalidati in tempo reale attraverso i sistemi di comando e controllo (C2) dell'hacker.
• Controlli migliorati per convalidare istantaneamente i codici di accesso e i token intercettati tramite i sistemi C2 degli attaccanti.

Analisi tecnica dettagliata

In questa sezione, analizziamo il funzionamento interno del kit di phishing Whisper 2FA, concentrandoci su come gestisce il flusso di autenticazione.

1. Offuscamento con Base64 +XOR

Al cuore di Whisper 2FA c'è una routine di codifica semplice ma efficace:

Offuscamento con Base64 + XOR maschera i dati e li rende difficili da rilevare o decifrare.

Innanzitutto, i dati vengono convertiti in un formato codificato (Base64) che appare come testo casuale. Successivamente, vengono offuscati con un'operazione matematica (XOR). Questo approccio è spesso utilizzato nel malware o nell'elusione della sicurezza per rendere i dati rubati o il codice dannoso più difficili da individuare. Aiuta a rallentare l'analisi e ad evitare rilevamenti statici da parte degli strumenti di sicurezza che cercano domini di phishing hardcoded o elementi HTML.

La funzione opera in due fasi:

• Decodifica Base64: Come accennato in precedenza, questo processo comporta la trasformazione di testo normale in un formato apparentemente confuso utilizzando solo lettere, numeri e pochi simboli. La codifica Base64 è facile da invertire se necessario. In questo caso, la stringa di input 's' viene prima decodificata da Base64, producendo una sequenza di byte grezzi.
• mascheramento XOR: Questo è un semplice metodo di crittografia che confronta ogni lettera o numero nel messaggio con una chiave segreta e poi la modifica secondo una regola che crittografa ogni byte di dati contro una chiave ripetuta (14cf6ff11206b4e94bee33a2ec0e6a51), che è rappresentata da 'Var K =' ed è unica per ogni pagina di phishing.

2. Anti-analisi e anti-debugging

Le varianti più recenti di Whisper 2FA si spingono a grandi lunghezze per prevenire l'ispezione e l'analisi della pagina di phishing.

Il codice utilizza l'approccio di offuscamento della codifica Base64 e XOR per nascondere parole chiave come "Keydown" e "F12," rendendo più difficile per gli analisti rilevare o comprendere cosa sta facendo il codice.

Include anche diverse tecniche anti-analisi che bloccano i modi in cui la maggior parte delle persone ispeziona le pagine web. Ad esempio, disabilita le scorciatoie da tastiera come Ctrl+Shift+I, Ctrl+Shift+J, Ctrl+Shift+C (usate per aprire gli strumenti per sviluppatori), Ctrl+U (usata per visualizzare il sorgente della pagina), Ctrl+S (usata per salvare la pagina) e il clic con il tasto destro (usato per aprire il menu contestuale).

Una tattica più aggressiva utilizzata è il ciclo infinito del debugger, noto anche come Watchdog Loop. Se qualcuno apre gli strumenti per sviluppatori, il codice viene eseguito all'infinito, causando il blocco della scheda del browser fino a quando non viene chiusa manualmente.

Inoltre, il codice dannoso di Whisper 2FA utilizza trucchi della console che rilevano quando qualcuno interagisce con la pagina tramite la console del browser. Se ciò accade, il contenuto della pagina viene cancellato, impedendo ulteriori analisi.

Whisper 2FA utilizza un trucco ingegnoso per bloccare l'analisi. Crea un oggetto immagine falso e modifica il funzionamento della sua proprietà ID. Se qualcuno tenta di esaminare questo oggetto, ad esempio utilizzando gli strumenti per sviluppatori del browser, viene attivato un comando che cancella istantaneamente la pagina web, rendendola vuota.

Durante la fase di associazione dei campi del modulo, il codice collega segretamente ogni campo di input, come e-mail, password, codici di accesso una tantum (OTP) o token MFA, a funzioni nascoste. Queste funzioni inviano automaticamente i dati al server dell'hacker, indipendentemente da come l'utente li invii, sia premendo Invio che cliccando su pulsanti come "Avanti", "Accedi" o "Invia".

L'intero processo è progettato per sembrare un normale modulo di accesso, in modo che la vittima non sospetti nulla. Nel frattempo, i loro dettagli di accesso e i codici di sicurezza vengono rubati in background.

3. Invio delle credenziali

La funzione chiamata _e3834047() controlla come il kit di phishing gestisce i dettagli di accesso della vittima e si prepara a rubare il loro codice MFA.

Una volta che la vittima inserisce la propria e-mail e password nel modulo di accesso falso, la funzione verifica prima se un passaggio di convalida nascosto passa con successo (utilizzando _c896d0b0()). Se lo fa, il kit acquisisce l'e-mail (chiamata "ordinazione") e la password (chiamata "invocazione") utilizzando selettori nascosti. Questi selettori sono camuffati ma puntano ai campi di input effettivi sul modulo quando la pagina viene eseguita.

Successivamente, l'interfaccia utente viene modificata per sembrare che qualcosa stia accadendo, come avverrebbe durante un vero processo di accesso. Appare un indicatore di caricamento, lo schermo si oscura e il modulo di accesso scompare. Questo inganna la vittima facendole credere che l'accesso stia avvenendo normalmente.

Dietro le quinte, le credenziali rubate vengono inviate al server dell'hacker utilizzando una richiesta AJAX. Ma invece di inviare i dati in testo semplice, il kit li incapsula in una funzione chiamata _860ac295, che li codifica utilizzando la codifica Base64 e XOR. Utilizza anche una chiave di sessione (chiamata "viscous") per rendere la codifica unica. Questo rende più difficile per chiunque monitori la rete vedere immediatamente che i dettagli di accesso sono stati rubati.

4. Esfiltrazione MFA

Dopo aver rubato le credenziali di accesso della vittima, Whisper 2FA passa a una fase più avanzata: l'acquisizione in tempo reale dell'MFA.

Se l'account della vittima richiede un codice SMS o un codice da un'app di autenticazione, il kit di phishing attiva una modalità di acquisizione manuale. Il backend dell'attaccante invia un nuovo token di sessione insieme alle istruzioni per la pagina di phishing per visualizzare un campo di input per il codice MFA.

Una volta che la vittima inserisce il proprio codice e fa clic su invia, la pagina di phishing avvolge il codice in un payload offuscato e lo invia al server C2 dell'attaccante. Questa richiesta include dettagli operativi come op: 'Vx' (verifica) e service: 'c' (inserimento manuale). L'attaccante utilizza immediatamente il codice per tentare un login reale. Se il codice funziona, la pagina di phishing continua come se il login fosse stato effettuato con successo, mantenendo la vittima convinta. Se il codice fallisce, la pagina chiede gentilmente alla vittima di riprovare. Questo loop consente tentativi illimitati, mantenendo la vittima impegnata fino a quando non viene catturato un codice valido.

Questo design è particolarmente pericoloso perché non si limita a rubare un singolo codice MFA — agisce come un relay live, convalidando ogni codice in tempo reale e continuando fino a quando l'hacker riesce ad accedere con successo. Per i difensori, questo significa che anche i codici scaduti o errati non fermano l'attacco, poiché il kit di phishing continua a sollecitare la vittima finché non ottiene uno valido.

5. Metodi MFA

Nella fase di selezione dell'MFA, il kit di phishing riceve un elenco dei metodi MFA disponibili dal server dell'attaccante. Questo elenco è codificato in Base64 e contiene opzioni come notifiche push, SMS, chiamate vocali o codici generati dall'app. Ogni metodo è visualizzato come una tessera cliccabile sulla pagina di phishing. Quando la vittima seleziona un metodo, viene attivata la funzione "heavenward" (metodo). Viene mostrato un indicatore di caricamento, lo schermo viene cancellato e viene inviato un POST request al server dell'attaccante con il metodo selezionato, un token di sessione e altri dettagli dell'operazione.

Questa fase consente a Whisper 2FA di adattarsi a qualsiasi metodo MFA utilizzato dall'account della vittima. Successivamente cattura l'OTP o attende l'approvazione push, completando il bypass in tempo reale.

Conclusione

La campagna di phishing Whisper 2FA dimostra come i kit di phishing si siano evoluti da semplici strumenti di furto di credenziali a piattaforme di attacco sofisticate e complete. Combinando flussi di login realistici, interazione senza soluzione di continuità con l'utente e intercettazione MFA in tempo reale, Whisper 2FA rende estremamente difficile per gli utenti e i team di sicurezza rilevare le frodi.

A differenza dei kit di phishing tradizionali che si fermano dopo aver raccolto nomi utente e password, Whisper 2FA va oltre. Convalida le sessioni in tempo reale, intercetta i codici MFA e utilizza tecniche avanzate di anti-analisi per evitare il rilevamento. Questo livello di sofisticazione riflette l'ascesa del Phishing-as-a-Service (PhaaS),, dove i kit sono sviluppati professionalmente, aggiornati regolarmente e venduti o affittati agli attaccanti.

Whisper 2FA si distingue dai kit PhaaS più noti come EvilProxy in diversi modi:

• Esfiltrazione semplificata: evita proxy inversi complessi e utilizza invece richieste AJAX leggere per rubare credenziali e token MFA, rendendola più facile da implementare e più difficile da rilevare.
• Anti-analisi aggressiva: include più livelli di offuscamento, imposta trappole per strumenti di debug e blocca le scorciatoie comuni di ispezione, rendendo difficile l'analisi da parte dei ricercatori e degli strumenti di sicurezza.

Questa combinazione di semplicità per gli attaccanti e complessità per i difensori rende Whisper 2FA una minaccia seria e in crescita.

Man mano che i kit di phishing come questo continuano a evolversi, le organizzazioni devono andare oltre le difese statiche e adottare strategie stratificate: training per la sensibilizzazione sulla sicurezza degli utenti, MFA resistente al phishing, monitoraggio continuo e condivisione dell'intelligence sulle minacce. Solo allora i difensori potranno tenere il passo con la continua innovazione che stiamo vedendo nelle campagne di phishing come Whisper 2FA.