Новият кит за фишинг с обхождане на двустепенна аутентикация (2FA) наречен ‘Tycoon 2FA’ насочва атаки към акаунти в Microsoft 365 и Gmail, като преминава през защитата на двустепенната аутентикация (2FA).

‘Tycoon 2FA’ е открит от анализатори на Sekoia през октомври 2023 г., но е активен поне от август 2023 г., когато групата Saad Tycoon го предлага чрез частни Telegram канали.

Китът за фишинг споделя подобия с други платформи за атаки върху потребителите (AitM), като Dadsec OTT, което предполага възможност за повторно използване на код или сътрудничество между разработчиците. През 2024 г. Tycoon 2FA издава нова версия, която е по-скрита, показвайки непрекъснати усилия за подобряване на кита. В момента услугата използва 1 100 домейна и е била забелязана в хиляди фишинг атаки. Атаките на Tycoon 2FA включват многостъпков процес, при който злонамерените актьори крадат сесионни бисквитки, като използват обратен прокси сървър, който хоства фишинг уеб страница, която прехвърля входните данни на жертвата към легитимната услуга. „След като потребителят завърши 2FA предизвикателството и аутентикацията е успешна, сървърът в средата хваща сесионните бисквитки,“ обяснява Sekoia. По този начин атакуващият може да възпроизведе сесията на потребителя и да обходи механизмите за двустепенна аутентикация (2FA). Докладът на Sekoia описва атаките в седем различни етапа както следва:

Етап 0 – Атакуващите разпространяват вредни връзки чрез имейли с вградени URL адреси или QR кодове, измамвайки жертвите да достъпват фишинг страниците. Етап 1 – Защитно предизвикателство (Cloudflare Turnstile) филтрира ботове, позволявайки само човешки интеракции да продължат към лъжливата фишинг страница. Етап 2 – Фонови скриптове извличат имейла на жертвата от URL адреса, за да персонализират атаката на фишинг. Етап 3 – Потребителите тихо се пренасочват към друга част на фишинг страницата, приближавайки ги до фалшивата страница за вход. Етап 4 – Този етап представя фалшива страница за вход в Microsoft, за да бъдат крадени данни за вход, като се използва WebSockets за изваждане на данни. Етап 5 – Китът имитира 2FA предизвикателство, като прехвърля 2FA токен или отговор, за да обходи мерките за сигурност. Етап 6 – Накрая, жертвите се пренасочват към легитимно изглеждаща страница, замаскираща успеха на фишинг атаката.

Еволюция и мащаб Според съобщение на Sekoia, най-новата версия на комплекта за фишинг Tycoon 2FA, пусната тази година, въвежда значителни промени, които подобряват възможностите за фишинг и избягване на откриване.

Ключовите промени включват актуализации на JavaScript и HTML кода, промени в реда на извличане на ресурси и по-широко филтриране, за да се блокира трафикът от ботове и аналитични инструменти.

Например, вече комплектът забавя зареждането на зловредни ресурси до след като се разреши предизвикателството на Cloudflare Turnstile, използвайки псевдослучайни имена за URL адресите, за да затрудни детекцията на своите действия.

Също така, трафикът от мрежата Tor или IP адресите, свързани с данъчни центрове, вече се идентифицира по-добре, докато трафикът се отхвърля въз основа на конкретни потребителски агенти.

Относно мащаба на операциите, Sekoia съобщава, че той е значителен, тъй като има доказателства за широкообхватна потребителска база на киберпрестъпници, които в момента използват Tycoon 2FA за фишинг операции.

Биткойн портфейлът, свързан с операторите, е регистрирал над 1800 транзакции от октомври 2019 година, със значително увеличение, започващо от август 2023 година, когато е пуснат комплектът.

Над 530 транзакции са над $120, което е входната цена за 10-дневен линк за фишинг. До средата на март 2024 година портфейлът на заплашителите е получил общо $394,015 стойност на криптовалута.

Tycoon 2FA е само последното допълнение към пространството на PhaaS, което вече предлага на киберпрестъпниците множество опции. Други забележителни платформи, които могат да обходят защитата с 2FA, включват LabHost, Greatness и Robin Banks.

За списък с индикаторите на компрометиране (IoC), свързани с операцията Tycoon 2FA, Sekoia предоставя хранилище с над 50 записа.