A Tycoon adathalász készlet többféle támadási vektort használ

A kiberbiztonsági közösség jelentős aggodalmának adott hangot a Tycoon 2FA nevű, nemrégiben felfedezett adathalász eszközkészlettel kapcsolatban. A Sekoia Threat Detection & Research (TDR) csapata által 2023 októberében feltárt, és egy ma kiadott tanácsban megvitatásra került, ez a készlet az Adversary-in-The-Middle (AiTM) technikát alkalmazza, és állítólag több fenyegetést is alkalmazó szereplő széles körben elterjedt. és hatékony támadások.

A Sekoia megállapításai szerint a Tycoon 2FA platform legalább 2023 augusztusa óta aktív, és a cég a felfedezése óta szorgalmasan figyeli a kapcsolódó infrastruktúráját. Elemzésük azt mutatja, hogy a Tycoon 2FA az egyik legelterjedtebb AiTM adathalász készlet, 2023 októbere és 2024 februárja között több mint 1100 domain nevet észleltek.

A Tycoon 2FA adathalász készlet több szakaszon keresztül működik, hogy hatékonyan hajtsa végre rosszindulatú tevékenységeit. Kezdetben az áldozatokat e-mail-mellékletekkel vagy QR-kódokkal egy olyan oldalra irányítják, amely egy Cloudflare Turnstile kihívást tartalmaz, amelynek célja a nem kívánt forgalom visszaszorítása. A kihívás teljesítése után a felhasználók egy hamisított Microsoft-hitelesítési oldalra találnak, ahol a hitelesítési adataikat gyűjtik össze. A készlet ezután továbbítja ezeket az információkat a legitim Microsoft hitelesítési API-nak, elfogva a munkamenet-cookie-kat, hogy megkerülje a többtényezős hitelesítést (MFA).

A Tycoon új verziója jelentős változtatásokkal érkezik

Legújabb tanácsában a Sekoia megjegyzi, hogy 2024 februárjában azonosították a Tycoon 2FA új verzióját, amely jelentős változtatásokat tartalmaz a JavaScript- és HTML-kódokban, ezáltal javítva az adathalász képességeket. A figyelemre méltó változtatások közé tartozik a Cloudflare Turnstile kihívás kizárása a kezdeti HTML-oldalról, valamint a korábbi különálló JavaScript-letöltések összevonása a 2FA implementációt és adatátvitelt kezelő szakaszokba. Ezenkívül a készlet kifinomult lopakodó taktikát alkalmaz, a rosszindulatú erőforrások rendelkezésre bocsátását a Cloudflare kihívás megoldása utáni késleltetéssel, és véletlenszerűen elnevezett URL-eket használ az észlelés elkerülésére.

A Sekoia a Tycoon 2FA és más ismert adathalász platformok közötti lehetséges kapcsolatokra is figyelmeztet, megosztott infrastruktúrát és esetlegesen megosztott kódbázisokat javasolva, és fokozott éberséget sürget az ilyen fenyegetések ellen.