Фишинговый комплект Tycoon использует несколько векторов атак
Сообщество кибербезопасности выразило серьезную обеспокоенность по поводу недавно обнаруженного фишингового инструментария под названием Tycoon 2FA. Обнаруженный командой Sekoia по обнаружению и исследованию угроз (TDR) в октябре 2023 года и обсужденный в опубликованном сегодня сообщении, этот комплект использует технику «Противник посередине» (AiTM) и предположительно используется несколькими субъектами угроз для проведения широкомасштабных атак. и эффективные атаки.
Согласно выводам Sekoia, платформа Tycoon 2FA активна как минимум с августа 2023 года, и с момента ее открытия компания тщательно отслеживает связанную с ней инфраструктуру. Их анализ показывает, что Tycoon 2FA является одним из наиболее распространенных наборов фишинга AiTM: в период с октября 2023 года по февраль 2024 года было обнаружено более 1100 доменных имен.
Фишинговый комплект Tycoon 2FA проходит несколько этапов для эффективного осуществления вредоносной деятельности. Первоначально жертвы перенаправляются через вложения электронной почты или QR-коды на страницу с турникетом Cloudflare, направленным на сдерживание нежелательного трафика. После выполнения этой задачи пользователи сталкиваются с поддельной страницей аутентификации Microsoft, на которой собираются их учетные данные. Затем комплект передает эту информацию законному API аутентификации Microsoft, перехватывая файлы cookie сеанса для обхода многофакторной аутентификации (MFA).
Новая версия Tycoon содержит значительные изменения
В своем последнем сообщении Sekoia отмечает появление в феврале 2024 года новой версии Tycoon 2FA, в которой внесены существенные изменения в коды JavaScript и HTML, что расширяет возможности фишинга. Заметные изменения включают исключение задачи Cloudflare Turnstile из исходной HTML-страницы и объединение прежних отдельных загрузок JavaScript в этапы реализации 2FA и передачи данных. Более того, в наборе используется усовершенствованная тактика скрытности, откладывающая предоставление вредоносных ресурсов до тех пор, пока не будет решена проблема Cloudflare, и используются URL-адреса со случайными именами, чтобы избежать обнаружения.
Sekoia также предупреждает о потенциальных связях между Tycoon 2FA и другими известными фишинговыми платформами, предлагая общую инфраструктуру и, возможно, общие базы кода, призывая к повышенной бдительности в отношении таких угроз.