Заплати и взламывай. Хакеры создали удобный сервис, который берет на себя всю техническую рутину

leer en español

8870
Заплати и взламывай. Хакеры создали удобный сервис, который берет на себя всю техническую рутину

Система безопасности пропустила чужаков без единого сигнала тревоги.

image

Фишинговые сервисы постепенно превращаются в готовые платформы для массового взлома, и новый набор NovaCookies помог злоумышленникам захватить более 100 облачных аккаунтов одной медицинской организации всего за день. Специалисты Proofpoint связывают NovaCookies с набором Sneaky2FA и считают его новой версией прежнего инструмента.

Активность Sneaky2FA периодически росла до февраля 2026 года, когда Proofpoint впервые обнаружила NovaCookies. С марта по май злоумышленники стали применять новую версию заметно чаще, однако в июне число зафиксированных атак снизилось.

NovaCookies перехватывает данные через схему «человек посередине». Поддельная страница передаёт введённые логин, пароль и данные сеанса настоящему сервису, а полученный доступ позволяет обойти многофакторную аутентификацию. Прежняя версия Sneaky2FA в основном нацеливалась на аккаунты Microsoft, тогда как NovaCookies получила отдельные сценарии для Okta и доменов Entra, связанных с GoDaddy.

Разработчики распространяют NovaCookies как полностью управляемый фишинговый сервис. Клиенты платят за доступ к платформе, а её оператор централизованно обслуживает серверы и другую инфраструктуру. Такая модель избавляет участников атак от необходимости самостоятельно разворачивать техническую часть кампании.

В апреле Proofpoint заметила смену интернет-провайдеров, через которых шла вредоносная активность. Подобная картина соответствует переносу серверов или прокси-сервисов для обхода обнаружения. Среди подтверждённых целей оказались облачные аккаунты медицинских организаций, включая более 100 захваченных учётных записей в одной среде за один день.

Proofpoint продолжает следить за Sneaky2FA и NovaCookies. Для снижения риска компания рекомендует развернуть средства, которые выявляют и блокируют захват облачных учётных записей.