Das Tycoon Phishing Kit nutzt mehrere Angriffsvektoren

Die Cybersicherheits-Community hat erhebliche Bedenken hinsichtlich eines kürzlich entdeckten Phishing-Toolkits namens Tycoon 2FA geäußert. Dieses Kit wurde im Oktober 2023 vom Sekoia Threat Detection & Research (TDR)-Team aufgedeckt und in einem heute veröffentlichten Advisory besprochen. Es nutzt die Adversary-in-The-Middle (AiTM)-Technik und wird angeblich von mehreren Bedrohungsakteuren für weitreichende Aktionen eingesetzt und effektive Angriffe.

Den Erkenntnissen von Sekoia zufolge ist die Tycoon 2FA-Plattform seit mindestens August 2023 aktiv und das Unternehmen hat die zugehörige Infrastruktur seit ihrer Entdeckung sorgfältig überwacht. Ihre Analyse zeigt, dass Tycoon 2FA eines der am weitesten verbreiteten AiTM-Phishing-Kits ist und zwischen Oktober 2023 und Februar 2024 über 1.100 Domainnamen entdeckt wurde.

Das Tycoon 2FA-Phishing-Kit durchläuft mehrere Phasen, um seine böswilligen Aktivitäten effizient auszuführen. Zunächst werden Opfer über E-Mail-Anhänge oder QR-Codes auf eine Seite mit einer Cloudflare Turnstile-Challenge weitergeleitet, die darauf abzielt, unerwünschten Datenverkehr abzuschrecken. Nach Abschluss dieser Herausforderung stoßen Benutzer auf eine gefälschte Microsoft-Authentifizierungsseite, auf der ihre Anmeldeinformationen erfasst werden. Das Kit leitet diese Informationen dann an die legitime Microsoft-Authentifizierungs-API weiter und fängt Sitzungscookies ab, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Die neue Tycoon-Version bringt wesentliche Änderungen mit sich

In ihrer neuesten Empfehlung weist Sekoia darauf hin, dass im Februar 2024 eine neue Version von Tycoon 2FA identifiziert wurde, die erhebliche Änderungen an den JavaScript- und HTML-Codes aufweist und dadurch die Phishing-Fähigkeiten verbessert. Zu den bemerkenswerten Änderungen gehören der Ausschluss der Cloudflare Turnstile-Herausforderung von der ursprünglichen HTML-Seite und die Zusammenlegung früherer separater JavaScript-Downloads in Phasen, die die 2FA-Implementierung und Datenübertragung abwickeln. Darüber hinaus setzt das Kit raffinierte Stealth-Taktiken ein, verzögert die Bereitstellung bösartiger Ressourcen bis nach der Lösung der Cloudflare-Herausforderung und verwendet zufällig benannte URLs, um einer Erkennung zu entgehen.

Sekoia warnt außerdem vor möglichen Verbindungen zwischen Tycoon 2FA und anderen bekannten Phishing-Plattformen, deutet auf eine gemeinsame Infrastruktur und möglicherweise gemeinsame Codebasen hin und fordert zu erhöhter Wachsamkeit gegenüber solchen Bedrohungen.