Tycoon Sukčiavimo rinkinyje naudojami keli atakų vektoriai
Kibernetinio saugumo bendruomenė išreiškė didelį susirūpinimą dėl neseniai atrasto sukčiavimo įrankių rinkinio, pavadinto Tycoon 2FA. Sekoia grėsmių aptikimo ir tyrimų (TDR) komanda atskleidė 2023 m. spalio mėn. ir aptarė šiandien paskelbtame patarime, šiame rinkinyje naudojama priešininko vidurio (AiTM) technika ir tariamai jį naudoja keli grėsmės veikėjai, kad galėtų vykdyti plačiai paplitusius veiksmus. ir veiksmingos atakos.
Remiantis „Sekoia“ išvadomis, „Tycoon 2FA“ platforma buvo aktyvi mažiausiai nuo 2023 m. rugpjūčio mėn., o bendrovė nuo pat atradimo kruopščiai stebėjo su ja susijusią infrastruktūrą. Jų analizė rodo, kad Tycoon 2FA yra vienas iš labiausiai paplitusių AiTM sukčiavimo rinkinių, kuriame nuo 2023 m. spalio mėn. iki 2024 m. vasario mėn. aptikta daugiau nei 1 100 domenų vardų.
Tycoon 2FA sukčiavimo rinkinys veikia keliais etapais, kad efektyviai vykdytų savo kenkėjišką veiklą. Iš pradžių aukos el. pašto priedais arba QR kodais nukreipiamos į puslapį, kuriame yra „Cloudflare Turnstile“ iššūkis, skirtas atgrasyti nuo nepageidaujamo srauto. Atlikę šį iššūkį, vartotojai susiduria su suklastotu „Microsoft“ autentifikavimo puslapiu, kuriame surenkami jų kredencialai. Tada rinkinys perduoda šią informaciją teisėtai „Microsoft“ autentifikavimo API, perimdamas seanso slapukus, kad apeitų daugiafaktorinį autentifikavimą (MFA).
Naujoji Tycoon versija pateikiama su reikšmingais pakeitimais
Savo naujausiame patarime „Sekoia“ pažymi, kad 2024 m. vasario mėn. buvo identifikuota nauja Tycoon 2FA versija, kurioje buvo atlikti reikšmingi JavaScript ir HTML kodų pakeitimai, taip pagerinant sukčiavimo galimybes. Reikšmingi pakeitimai apima „Cloudflare Turnstile“ iššūkio pašalinimą iš pradinio HTML puslapio ir ankstesnių atskirų „JavaScript“ atsisiuntimų konsolidavimą į 2FA diegimo ir duomenų perdavimo etapus. Be to, rinkinyje naudojama patobulinta slaptumo taktika, atidėdama kenkėjiškų išteklių teikimą iki „Cloudflare“ iššūkio sprendimo ir naudojant atsitiktinai pavadintus URL, kad būtų išvengta aptikimo.
„Sekoia“ taip pat įspėja apie galimus ryšius tarp Tycoon 2FA ir kitų žinomų sukčiavimo platformų, siūlydama bendrą infrastruktūrą ir galbūt bendras kodų bazes, ragindama būti budriems prieš tokias grėsmes.
