Il kit di phishing Tycoon utilizza più vettori di attacco
La comunità della sicurezza informatica ha espresso notevoli preoccupazioni per un toolkit di phishing scoperto di recente chiamato Tycoon 2FA. Scoperto dal team Sekoia Threat Detection & Research (TDR) nell'ottobre 2023 e discusso in un avviso pubblicato oggi, questo kit impiega la tecnica Adversary-in-The-Middle (AiTM) ed è presumibilmente utilizzato da più attori di minacce per condurre azioni diffuse ed attacchi efficaci.
Secondo i risultati di Sekoia, la piattaforma Tycoon 2FA è attiva almeno dall'agosto 2023 e la società ha monitorato diligentemente l'infrastruttura associata sin dalla sua scoperta. La loro analisi indica che Tycoon 2FA è uno dei kit di phishing AiTM più diffusi, con oltre 1.100 nomi di dominio rilevati tra ottobre 2023 e febbraio 2024.
Il kit di phishing Tycoon 2FA opera attraverso diverse fasi per svolgere le sue attività dannose in modo efficiente. Inizialmente, le vittime vengono indirizzate tramite allegati e-mail o codici QR a una pagina contenente una sfida Cloudflare Turnstile volta a scoraggiare il traffico indesiderato. Dopo aver completato questa sfida, gli utenti incontrano una pagina di autenticazione Microsoft contraffatta, dove vengono raccolte le loro credenziali. Il kit trasmette quindi queste informazioni all'API legittima di autenticazione di Microsoft, intercettando i cookie di sessione per bypassare la Multi-Factor Authentication (MFA).
La nuova versione di Tycoon presenta modifiche significative
Nel suo ultimo avviso, Sekoia rileva l'identificazione di una nuova versione di Tycoon 2FA nel febbraio 2024, che presenta modifiche significative ai suoi codici JavaScript e HTML, migliorando così le sue capacità di phishing. Le modifiche degne di nota includono l'esclusione della sfida Cloudflare Turnstile dalla pagina HTML iniziale e il consolidamento dei precedenti download JavaScript separati in fasi che gestiscono l'implementazione 2FA e la trasmissione dei dati. Inoltre, il kit impiega raffinate tattiche stealth, ritardando la fornitura di risorse dannose fino a dopo la risoluzione del problema Cloudflare e utilizzando URL con nomi casuali per eludere il rilevamento.
Sekoia avvisa anche di potenziali connessioni tra Tycoon 2FA e altre piattaforme di phishing note, suggerendo infrastrutture condivise e possibilmente basi di codice condivise, sollecitando una maggiore vigilanza contro tali minacce.
