Tycoon Phishing Kit bruker flere angrepsvektorer
Nettsikkerhetsfellesskapet har uttrykt betydelige bekymringer over et nylig oppdaget phishing-verktøysett kalt Tycoon 2FA. Dette settet ble avdekket av Sekoia Threat Detection & Research (TDR)-teamet i oktober 2023, og diskutert i et råd utgitt i dag, og bruker Adversary-in-The-Middle (AiTM)-teknikken og brukes angivelig av flere trusselaktører for å utføre utbredt og effektive angrep.
I følge Sekoias funn har Tycoon 2FA-plattformen vært aktiv siden minst august 2023, og selskapet har fulgt nøye med på den tilhørende infrastrukturen siden den ble oppdaget. Analysen deres indikerer at Tycoon 2FA er en av de mest utbredte AiTM phishing-settene, med over 1100 domenenavn oppdaget mellom oktober 2023 og februar 2024.
Tycoon 2FA phishing-settet fungerer gjennom flere stadier for å utføre ondsinnede aktiviteter effektivt. Til å begynne med blir ofre dirigert via e-postvedlegg eller QR-koder til en side med en Cloudflare Turnstile-utfordring rettet mot å avskrekke uønsket trafikk. Etter å ha fullført denne utfordringen, møter brukerne en forfalsket Microsoft-autentiseringsside, hvor legitimasjonen deres samles inn. Settet videresender deretter denne informasjonen til det legitime Microsoft-autentiserings-APIet, og fanger opp sesjonskapsler for å omgå Multi-Factor Authentication (MFA).
Ny Tycoon-versjon kommer med betydelige endringer
I deres siste råd, noterer Sekoia identifiseringen av en ny versjon av Tycoon 2FA i februar 2024, med betydelige endringer i JavaScript- og HTML-kodene, og forbedrer dermed phishing-mulighetene. Viktige endringer inkluderer utelukkelsen av Cloudflare Turnstile-utfordringen fra den første HTML-siden og konsolideringen av tidligere separate JavaScript-nedlastinger til stadier som håndterer 2FA-implementering og dataoverføring. Dessuten bruker settet raffinerte stealth-taktikker, forsinker ondsinnet ressurstilførsel til etter løsningen av Cloudflare-utfordringen og bruker tilfeldig navngitte URL-er for å unngå oppdagelse.
Sekoia varsler også om potensielle forbindelser mellom Tycoon 2FA og andre kjente phishing-plattformer, og foreslår delt infrastruktur og muligens delte kodebaser, og oppfordrer til økt årvåkenhet mot slike trusler.
