Cybercriminalii au început să utilizeze tot mai des o nouă platformă de phishing ca serviciu (PhaaS) numită ‘Tycoon 2FA’ pentru a viza conturile Microsoft 365 și Gmail și a ocoli protecția de autentificare în doi factori (2FA).
Tycoon 2FA a fost descoperit de analiștii Sekoia în octombrie 2023 în timpul vânătorii obișnuite de amenințări, dar a fost activ cel puțin din august 2023, când grupul Saad Tycoon l-a oferit prin canalele private de Telegram.
Kitul PhaaS prezintă similarități cu alte platforme de adversar în mijlocul (AitM), cum ar fi Dadsec OTT, sugerând posibilitatea reutilizării codului sau a unei colaborări între dezvoltatori.
În 2024, Tycoon 2FA a lansat o nouă versiune care este mai furtunoasă, indicând un efort continuu de îmbunătățire a kitului. În prezent, serviciul folosește 1.100 de domenii și a fost observat în mii de atacuri de phishing.
Atacurile Tycoon 2FA implică un proces în mai multe etape în care actorul amenințării fură cookie-uri de sesiune utilizând un server proxy invers care găzduiește pagina web de phishing, care interceptează intrările victimei și le transmite serviciului legitim.
‘Odată ce utilizatorul completează provocarea MFA, iar autentificarea este reușită, serverul din mijloc capturează cookie-urile de sesiune,’ explică Sekoia. Astfel, atacantul poate reda o sesiune a utilizatorului și poate ocoli mecanismele de autentificare în doi factori (MFA).
Raportul Sekoia descrie atacurile în șapte etape distincte după cum este descris mai jos:
O prezentare generală a atacului este descrisă în diagrama de mai jos, care include toate etapele procesului.
Sekoia raportează că cea mai recentă versiune a kitului de phishing Tycoon 2FA, lansată în acest an, a introdus modificări semnificative care îmbunătățesc capacitățile de phishing și de evitare.
Modificările cheie includ actualizări la codul JavaScript și HTML, modificări în ordinea recuperării resurselor și filtrare mai extinsă pentru a bloca traficul de la roboți și instrumente analitice.
De exemplu, kitul acum întârzie încărcarea resurselor dăunătoare până după ce este rezolvată provocarea Cloudflare Turnstile, folosind nume pseudorandom pentru URL-uri pentru a-și acoperi activitățile.
De asemenea, traficul de rețea Tor sau adresele IP legate de centre de date sunt acum identificate mai bine, în timp ce traficul este respins în funcție de anumite șiruri de agent utilizator.
În ceea ce privește scala operațiunilor, Sekoia raportează că este substanțială, deoarece există dovezi ale unei baze largi de utilizatori de cybercriminali care utilizează în prezent Tycoon 2FA pentru operațiuni de phishing.
Portofelul Bitcoin legat de operatori a înregistrat peste 1.800 de tranzacții începând din octombrie 2019, cu o creștere semnificativă începând din august 2023, când kitul a fost lansat.
Peste 530 de tranzacții au fost de peste 120 de dolari, care reprezintă prețul de intrare pentru un link de phishing de 10 zile. Până la mijlocul lunii martie 2024, portofelul actorilor amenințării a primit în total 394.015 dolari în valoare de criptomonedă.
Tycoon 2FA este doar o adăugire recentă la un spațiu PhaaS care oferă deja cybercriminalilor o mulțime de opțiuni. Alte platforme notabile care pot ocoli protecțiile 2FA includ LabHost, Greatness și Robin Banks.
Pentru o listă a indicatorilor de compromis (IoCs) legați de operațiunea Tycoon 2FA, Sekoia pune la dispoziție un depozit cu peste 50 de intrări.
Hackerii vizează FCC, firme de criptovalute în atacuri avansate de phishing Okta
Serviciul de cybercrime LabHost permite oricui să pescuiască utilizatorii băncilor canadiene
Campania continuă de piratare a conturilor Microsoft Azure vizează executivi
Hackerii ruși vizează partidele politice germane cu malware-ul WineLoader
Contul de email Spa Grand Prix a fost spart pentru a pescui informații bancare de la fani
Leave a Reply