Tycoon Phishing Kit bruger flere angrebsvektorer

Cybersikkerhedsfællesskabet har udtrykt betydelige bekymringer over et nyligt opdaget phishing-værktøjssæt kaldet Tycoon 2FA. Dette sæt, som blev afdækket af Sekoia Threat Detection & Research (TDR)-teamet i oktober 2023, og diskuteret i en rådgivning udgivet i dag, anvender Adversary-in-The-Middle (AiTM) teknikken og bruges angiveligt af flere trusselsaktører til at udføre udbredt og effektive angreb.

Ifølge Sekoias resultater har Tycoon 2FA-platformen været aktiv siden mindst august 2023, og virksomheden har flittigt overvåget sin tilknyttede infrastruktur siden dens opdagelse. Deres analyse viser, at Tycoon 2FA er et af de mest udbredte AiTM phishing-sæt med over 1.100 domænenavne fundet mellem oktober 2023 og februar 2024.

Tycoon 2FA phishing-sættet fungerer gennem flere faser for at udføre sine ondsindede aktiviteter effektivt. I første omgang dirigeres ofrene via e-mail-vedhæftede filer eller QR-koder til en side med en Cloudflare Turnstile-udfordring, der har til formål at afskrække uønsket trafik. Efter at have fuldført denne udfordring støder brugerne på en forfalsket Microsoft-godkendelsesside, hvor deres legitimationsoplysninger indsamles. Sættet videresender derefter disse oplysninger til den legitime Microsoft-autentificerings-API og opsnapper sessionscookies for at omgå Multi-Factor Authentication (MFA).

Ny Tycoon-version kommer med væsentlige ændringer

I deres seneste rådgivning noterer Sekoia identifikationen af en ny version af Tycoon 2FA i februar 2024, der byder på væsentlige ændringer i dens JavaScript- og HTML-koder, og derved forbedrer dens phishing-kapacitet. Bemærkelsesværdige ændringer omfatter udelukkelsen af Cloudflare Turnstile-udfordringen fra den indledende HTML-side og konsolideringen af tidligere separate JavaScript-downloads i faser, der håndterer 2FA-implementering og datatransmission. Derudover anvender sættet raffinerede stealth-taktik, der forsinker levering af ondsindet ressource indtil efter Cloudflare-udfordringsløsningen og bruger tilfældigt navngivne URL'er for at undgå registrering.

Sekoia advarer også om potentielle forbindelser mellem Tycoon 2FA og andre kendte phishing-platforme, og foreslår delt infrastruktur og muligvis delte kodebaser, og opfordrer til øget årvågenhed mod sådanne trusler.