Siber tehditlerin sürekli değişen manzarasında, yeni bir rakip ortaya çıktı: Tycoon 2FA. Bu phishing-hizmeti (PhaaS) platformu, Microsoft 365 ve Gmail hesaplarını hedef alırken iki faktörlü kimlik doğrulama (2FA) korumasını atlatmasıyla dikkat çekiyor.

Rutin tehdit avı sırasında Ekim 2023’te Sekoia analistleri tarafından keşfedilen Tycoon 2FA, en azından Ağustos 2023’ten beri faaldir. İlk olarak Saad Tycoon grubu tarafından özel Telegram kanallarında sunulan bu sofistike PhaaS kiti, kısa sürede siber suçluların ilgisini çekti.

Diğer rakip-orta-yer (AitM) platformları gibi bu gelişmiş PhaaS kiti, saldırıları gizlilik ve verimlilikle yürütmek için çok adımlı bir süreç kullanır. Sahte web sayfaları barındıran ters proxy sunucusunu kullanarak Tycoon 2FA, kurbanların girişlerini yakalar ve bunları meşru hizmetlere iletir, böylece oturum çerezlerini çalar ve MFA mekanizmalarını atlar.

Sekoia’nın raporu, Tycoon 2FA saldırılarının yedi farklı aşamasını ortaya koyuyor:

1. E-posta veya QR kodları aracılığıyla kötü amaçlı bağlantıların dağıtımı.
2. Botları bir güvenlik meydan okumasıyla filtreleme.
3. Kurban e-postasının çıkarılması ve saldırının özelleştirilmesi.
4. Sahte bir giriş sayfasına yönlendirme.
5. Kimlik bilgilerini çalmak için sahte bir Microsoft giriş sayfasının sunulması.
6. Güvenlik duvarını atlatmak için tokenleri ele geçirmek için 2FA meydan okumasının taklit edilmesi.
7. Phishing saldırısının başarısını gizlemek için meşru görünen bir sayfaya yönlendirme.

2024 yılında piyasaya sürülen Tycoon 2FA’nın son sürümü, phishing ve kaçınma yeteneklerini artırmak için önemli değişiklikler içeriyor. JavaScript ve HTML kodlarına yapılan güncellemeler, kaynak alımını ve filtreleme mekanizmalarını geliştirmeye katkıda bulunarak bu sofistike yapıya katkı sağlar.

Nispeten yeni olmasına rağmen, Tycoon 2FA zaten önemli bir siber suçlu kullanıcı tabanını topladı. Deliller, ilişkilendirilen Bitcoin cüzdanında Ekim 2019’dan bu yana kaydedilen 1.800’den fazla işlem olduğunu ve bunların toplam değerinin 394.015 doların üzerinde olduğunu gösteriyor.

PhaaS seçenekleriyle dolu bir manzara içinde Tycoon 2FA, 2FA korumalarını atlatmadaki etkinliğiyle öne çıkıyor. Siber tehditler evrimleşmeye devam ettikçe, bu tür sofistike saldırılara karşı korunmak için dikkatli olmak ve proaktif önlemler almak önemlidir.

Kendilerini korumak isteyen kuruluşlar ve bireyler için, Tycoon 2FA operasyonlarına bağlı tehlike göstergelerinin (IoC’ler) farkında olmak, algılama ve önleme çabalarına yardımcı olabilir. Sekoia, tespit ve azaltma çabalarına yardımcı olmak için 50’den fazla IoC içeren bir depo sağlar.