Tycoon フィッシング キットは複数の攻撃ベクトルを使用
サイバーセキュリティ コミュニティは、最近発見された Tycoon 2FA と呼ばれるフィッシング ツールキットに対して重大な懸念を表明しています。 2023 年 10 月に Sekoia Threat Detection & Research (TDR) チームによって発見され、本日リリースされたアドバイザリーで議論されたこのキットは、Adversary-in-The-Middle (AiTM) 技術を採用しており、複数の脅威アクターが広範な攻撃を行うために使用していると言われています。そして効果的な攻撃。
Sekoia の調査結果によると、Tycoon 2FA プラットフォームは少なくとも 2023 年 8 月から活動しており、同社は発見以来、関連インフラストラクチャを熱心に監視してきました。彼らの分析によると、Tycoon 2FA は最も蔓延した AiTM フィッシング キットの 1 つであり、2023 年 10 月から 2024 年 2 月の間に 1,100 を超えるドメイン名が検出されました。
Tycoon 2FA フィッシング キットは、悪意のある活動を効率的に実行するためにいくつかの段階を経て動作します。最初に、被害者は電子メールの添付ファイルまたは QR コードを介して、望ましくないトラフィックを阻止することを目的とした Cloudflare Turnstile チャレンジを特集したページに誘導されます。このチャレンジを完了すると、ユーザーは偽の Microsoft 認証ページに遭遇し、そこで資格情報が収集されます。次に、キットはこの情報を正規の Microsoft 認証 API に中継し、セッション Cookie をインターセプトして多要素認証 (MFA) をバイパスします。
新しい Tycoon バージョンには大幅な変更が加えられています
Sekoia は最新の勧告の中で、2024 年 2 月に Tycoon 2FA の新バージョンが確認されたことを指摘しています。このバージョンでは、JavaScript と HTML コードに大幅な変更が加えられ、フィッシング機能が強化されています。注目すべき変更点には、最初の HTML ページから Cloudflare Turnstile チャレンジが除外されたことと、以前は個別にダウンロードされていた JavaScript のダウンロードが 2FA 実装とデータ送信を処理するステージに統合されたことが含まれます。さらに、このキットは洗練されたステルス戦術を採用しており、Cloudflare チャレンジが解決されるまで悪意のあるリソースの提供を遅らせ、ランダムに名前が付けられた URL を使用して検出を回避します。
Sekoia はまた、Tycoon 2FA と他の既知のフィッシング プラットフォームとの間の潜在的な接続についても警告し、共有インフラストラクチャや共有コード ベースの可能性を示唆し、そのような脅威に対する警戒を高めるよう促しています。