Το Tycoon Phishing Kit χρησιμοποιεί πολλαπλούς φορείς επίθεσης
Η κοινότητα της κυβερνοασφάλειας έχει εκφράσει σημαντικές ανησυχίες σχετικά με μια εργαλειοθήκη ηλεκτρονικού ψαρέματος που ανακαλύφθηκε πρόσφατα και ονομάζεται Tycoon 2FA. Αποκαλύφθηκε από την ομάδα Sekoia Threat Detection & Research (TDR) τον Οκτώβριο του 2023 και συζητήθηκε σε μια συμβουλευτική που κυκλοφόρησε σήμερα, αυτό το κιτ χρησιμοποιεί την τεχνική Adversary-in-The-Middle (AiTM) και φέρεται να χρησιμοποιείται από πολλούς παράγοντες απειλών για τη διεξαγωγή ευρείας και αποτελεσματικές επιθέσεις.
Σύμφωνα με τα ευρήματα της Sekoia, η πλατφόρμα Tycoon 2FA ήταν ενεργή τουλάχιστον από τον Αύγουστο του 2023 και η εταιρεία παρακολουθεί επιμελώς τη σχετική υποδομή της από την ανακάλυψή της. Η ανάλυσή τους δείχνει ότι το Tycoon 2FA είναι ένα από τα πιο διαδεδομένα κιτ phishing AiTM, με πάνω από 1.100 ονόματα τομέα που εντοπίστηκαν μεταξύ Οκτωβρίου 2023 και Φεβρουαρίου 2024.
Το κιτ phishing Tycoon 2FA λειτουργεί σε διάφορα στάδια για την αποτελεσματική εκτέλεση των κακόβουλων δραστηριοτήτων του. Αρχικά, τα θύματα κατευθύνονται μέσω συνημμένων email ή κωδικών QR σε μια σελίδα που περιλαμβάνει μια πρόκληση Cloudflare Turnstile με στόχο την αποτροπή της ανεπιθύμητης κυκλοφορίας. Μετά την ολοκλήρωση αυτής της πρόκλησης, οι χρήστες αντιμετωπίζουν μια πλαστή σελίδα ελέγχου ταυτότητας της Microsoft, όπου συγκεντρώνονται τα διαπιστευτήριά τους. Στη συνέχεια, το κιτ αναμεταδίδει αυτές τις πληροφορίες στο νόμιμο API ελέγχου ταυτότητας της Microsoft, παρεμποδίζοντας τα cookie περιόδου λειτουργίας για να παρακάμψει τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Η νέα έκδοση Tycoon έρχεται με σημαντικές αλλαγές
Στην τελευταία τους συμβουλή, η Sekoia σημειώνει την αναγνώριση μιας νέας έκδοσης του Tycoon 2FA τον Φεβρουάριο του 2024, η οποία περιλαμβάνει σημαντικές αλλαγές στους κώδικες JavaScript και HTML, ενισχύοντας έτσι τις δυνατότητές του για phishing. Οι αξιοσημείωτες αλλαγές περιλαμβάνουν την εξαίρεση της πρόκλησης του Cloudflare Turnstile από την αρχική σελίδα HTML και την ενοποίηση των προηγούμενων ξεχωριστών λήψεων JavaScript σε στάδια που χειρίζονται την υλοποίηση 2FA και τη μετάδοση δεδομένων. Επιπλέον, το κιτ χρησιμοποιεί εκλεπτυσμένες μυστικές τακτικές, καθυστερώντας την παροχή κακόβουλων πόρων μέχρι την επίλυση πρόκλησης του Cloudflare και χρησιμοποιώντας διευθύνσεις URL με τυχαία ονόματα για την αποφυγή εντοπισμού.
Η Sekoia ειδοποιεί επίσης για πιθανές συνδέσεις μεταξύ του Tycoon 2FA και άλλων γνωστών πλατφορμών phishing, προτείνοντας κοινή υποδομή και πιθανώς κοινές βάσεις κώδικα, προτρέποντας αυξημένη επαγρύπνηση έναντι τέτοιων απειλών.
