El kit de phishing de Tycoon utiliza múltiples vectores de ataque

La comunidad de ciberseguridad ha expresado gran preocupación por un conjunto de herramientas de phishing descubierto recientemente llamado Tycoon 2FA. Descubierto por el equipo de Investigación y Detección de Amenazas de Sekoia (TDR) en octubre de 2023 y discutido en un aviso publicado hoy, este kit emplea la técnica Adversary-in-The-Middle (AiTM) y supuestamente es utilizado por múltiples actores de amenazas para realizar ataques generalizados. y ataques efectivos.

Según los hallazgos de Sekoia, la plataforma Tycoon 2FA ha estado activa desde al menos agosto de 2023, y la compañía ha estado monitoreando diligentemente su infraestructura asociada desde su descubrimiento. Su análisis indica que Tycoon 2FA es uno de los kits de phishing AiTM más frecuentes, con más de 1100 nombres de dominio detectados entre octubre de 2023 y febrero de 2024.

El kit de phishing Tycoon 2FA opera a través de varias etapas para llevar a cabo sus actividades maliciosas de manera eficiente. Inicialmente, las víctimas son dirigidas mediante archivos adjuntos de correo electrónico o códigos QR a una página que presenta un desafío Cloudflare Turnstile destinado a disuadir el tráfico no deseado. Después de completar este desafío, los usuarios encuentran una página de autenticación de Microsoft falsa, donde se recopilan sus credenciales. Luego, el kit transmite esta información a la API de autenticación legítima de Microsoft, interceptando las cookies de sesión para evitar la autenticación multifactor (MFA).

La nueva versión de Tycoon viene con cambios significativos

En su último aviso, Sekoia señala la identificación de una nueva versión de Tycoon 2FA en febrero de 2024, que presenta cambios significativos en sus códigos JavaScript y HTML, mejorando así sus capacidades de phishing. Las modificaciones notables incluyen la exclusión del desafío Cloudflare Turnstile de la página HTML inicial y la consolidación de descargas de JavaScript separadas anteriores en etapas que manejan la implementación de 2FA y la transmisión de datos. Además, el kit emplea tácticas sigilosas refinadas, retrasando el suministro de recursos maliciosos hasta después de la resolución del desafío de Cloudflare y utilizando URL con nombres aleatorios para evadir la detección.

Sekoia también alerta sobre posibles conexiones entre Tycoon 2FA y otras plataformas de phishing conocidas, sugiriendo infraestructura compartida y posiblemente bases de código compartidas, instando a una mayor vigilancia contra tales amenazas.