Tycoon Phishing Kit maakt gebruik van meerdere aanvalsvectoren

De cyberbeveiligingsgemeenschap heeft grote zorgen geuit over een onlangs ontdekte phishing-toolkit genaamd Tycoon 2FA. Deze kit, die in oktober 2023 door het Sekoia Threat Detection & Research (TDR)-team werd ontdekt en besproken in een vandaag vrijgegeven advies, maakt gebruik van de Adversary-in-The-Middle (AiTM)-techniek en wordt naar verluidt door meerdere bedreigingsactoren gebruikt om wijdverbreide aanvallen uit te voeren. en effectieve aanvallen.

Volgens de bevindingen van Sekoia is het Tycoon 2FA-platform in ieder geval sinds augustus 2023 actief en houdt het bedrijf sinds de ontdekking ervan de bijbehorende infrastructuur nauwlettend in de gaten. Uit hun analyse blijkt dat Tycoon 2FA een van de meest voorkomende AiTM-phishingkits is, met meer dan 1.100 gedetecteerde domeinnamen tussen oktober 2023 en februari 2024.

De Tycoon 2FA-phishingkit doorloopt verschillende fasen om zijn kwaadaardige activiteiten efficiënt uit te voeren. In eerste instantie worden slachtoffers via e-mailbijlagen of QR-codes naar een pagina geleid met een Cloudflare Turnstile-uitdaging, bedoeld om ongewenst verkeer af te schrikken. Na het voltooien van deze uitdaging komen gebruikers een valse Microsoft-authenticatiepagina tegen, waar hun inloggegevens worden verzameld. De kit geeft deze informatie vervolgens door aan de legitieme Microsoft-authenticatie-API, waarbij sessiecookies worden onderschept om Multi-Factor Authentication (MFA) te omzeilen.

Nieuwe Tycoon-versie wordt geleverd met aanzienlijke wijzigingen

In hun laatste advies vermeldt Sekoia de identificatie van een nieuwe versie van Tycoon 2FA in februari 2024, met aanzienlijke wijzigingen in de JavaScript- en HTML-codes, waardoor de phishing-mogelijkheden worden vergroot. Opmerkelijke wijzigingen zijn onder meer de uitsluiting van de Cloudflare Turnstile-uitdaging van de oorspronkelijke HTML-pagina en de consolidatie van voormalige afzonderlijke JavaScript-downloads in fasen voor de 2FA-implementatie en gegevensoverdracht. Bovendien maakt de kit gebruik van verfijnde stealth-tactieken, waardoor het verstrekken van kwaadaardige bronnen wordt uitgesteld tot na de oplossing van de Cloudflare-uitdaging en het gebruik van willekeurig genoemde URL's om detectie te omzeilen.

Sekoia waarschuwt ook voor mogelijke verbindingen tussen Tycoon 2FA en andere bekende phishing-platforms, waarbij wordt gesuggereerd dat er een gedeelde infrastructuur en mogelijk gedeelde codebases zijn, en dringt aan op verhoogde waakzaamheid tegen dergelijke bedreigingen.