Im ständig sich wandelnden Umfeld der Cyber-Bedrohungen ist ein neuer Gegner aufgetaucht: Tycoon 2FA. Diese Phishing-as-a-Service (PhaaS) Plattform hat durch das gezielte Angreifen von Microsoft 365 und Gmail Konten sowie das Umgehen des Zwei-Faktor-Authentifizierungsschutzes (2FA) für Aufsehen gesorgt.

Entdeckt von Sekoia-Analysten im Oktober 2023 während routinemäßiger Bedrohungssuche, ist Tycoon 2FA seit mindestens August 2023 aktiv. Zunächst über private Telegram-Kanäle von der Saad Tycoon-Gruppe angeboten, hat es schnell an Bedeutung in der Cyberkriminalitätsgemeinschaft gewonnen.

Dieses ausgeklügelte PhaaS-Kit, ähnlich wie andere "Adversary-in-the-Middle" (AitM) Plattformen, verwendet einen mehrstufigen Prozess, um Angriffe unauffällig und effizient durchzuführen. Durch die Nutzung eines Reverse-Proxy-Servers, der Phishing-Webseiten hostet, fängt Tycoon 2FA die Eingaben der Opfer ab und leitet sie an legitime Dienste weiter, wodurch Sitzungscookies gestohlen und MFA-Mechanismen umgangen werden.

Der Bericht von Sekoia skizziert sieben unterschiedliche Phasen der Tycoon 2FA-Angriffe:

1. Verbreitung bösartiger Links per E-Mail oder QR-Codes.

2. Filtern von Bots mittels einer Sicherheitsprüfung.

3. Extraktion der E-Mail des Opfers und Anpassung des Angriffs.

4. Umleitung zu einer gefälschten Anmeldeseite.

5. Präsentation einer gefälschten Microsoft-Anmeldeseite zum Diebstahl von Zugangsdaten.

6. Nachahmung einer 2FA-Herausforderung, um Tokens abzufangen und die Sicherheit zu umgehen.

7. Umleitung zu einer echt aussehenden Seite, um den Erfolg des Phishing-Angriffs zu verschleiern.

Die neueste Version von Tycoon 2FA, die 2024 veröffentlicht wurde, bietet bedeutende Änderungen zur Verbesserung der Phishing- und Ausweismechanismen. Updates des JavaScript- und HTML-Codes sowie verbesserte Mechanismen zur Ressourcenabrufung und -filterung tragen zu seiner Raffinesse bei.

Trotz seines relativ neuen Auftretens hat Tycoon 2FA bereits eine beträchtliche Nutzerbasis unter Cyberkriminellen gewonnen. Hinweise deuten auf eine weitverbreitete Nutzung für Phishing-Operationen hin, mit über 1.800 Transaktionen im zugehörigen Bitcoin-Wallet seit Oktober 2019, was einem Gesamtwert von über 394.015 USD an Kryptowährung entspricht.

In einer Landschaft, die von PhaaS-Optionen wimmelt, sticht Tycoon 2FA durch seine Wirksamkeit beim Umgehen von 2FA-Schutz hervor. Da sich Cyber-Bedrohungen weiterentwickeln, sind Wachsamkeit und proaktive Maßnahmen unerlässlich, um sich gegen solche ausgeklügelten Angriffe zu schützen.

Für Organisationen und Einzelpersonen, die sich schützen möchten, kann das Bewusstsein für Indikatoren von Kompromittierungen (IoCs), die mit Tycoon 2FA-Operationen verbunden sind, als wertvoller Abwehrmechanismus dienen. Sekoia bietet ein Repository mit über 50 IoCs, um Erkennungs- und Abmilderungsbemühungen zu unterstützen.

Lesen Sie den Originalbeitrag hier.