Tycoon Phishing Kit använder flera attackvektorer
Cybersäkerhetsgemenskapen har uttryckt betydande oro över en nyligen upptäckt verktygssats för nätfiske som heter Tycoon 2FA. Upptäckt av Sekoia Threat Detection & Research (TDR)-teamet i oktober 2023, och diskuterat i ett råd som släpptes idag, använder det här kitet Adversary-in-The-Middle (AiTM)-tekniken och påstås användas av flera hotaktörer för att utföra omfattande och effektiva attacker.
Enligt Sekoias resultat har Tycoon 2FA-plattformen varit aktiv sedan åtminstone augusti 2023, och företaget har noggrant övervakat sin tillhörande infrastruktur sedan upptäckten. Deras analys indikerar att Tycoon 2FA är ett av de vanligaste AiTM-nätfiskepaketen, med över 1 100 domännamn som upptäckts mellan oktober 2023 och februari 2024.
Tycoon 2FA phishing-kit fungerar genom flera steg för att utföra sina skadliga aktiviteter effektivt. Inledningsvis dirigeras offren via e-postbilagor eller QR-koder till en sida som innehåller en Cloudflare Turnstile-utmaning som syftar till att avskräcka oönskad trafik. Efter att ha slutfört den här utmaningen stöter användare på en förfalskad Microsoft-autentiseringssida, där deras autentiseringsuppgifter samlas in. Satsen vidarebefordrar sedan denna information till det legitima Microsoft-autentiserings-API:et, och fångar upp sessionscookies för att kringgå Multi-Factor Authentication (MFA).
Ny Tycoon-version kommer med betydande förändringar
I sin senaste rådgivning noterar Sekoia identifieringen av en ny version av Tycoon 2FA i februari 2024, med betydande ändringar av dess JavaScript- och HTML-koder, vilket förbättrar dess nätfiskemöjligheter. Anmärkningsvärda förändringar inkluderar uteslutningen av Cloudflare Turnstile-utmaningen från den första HTML-sidan och konsolideringen av tidigare separata JavaScript-nedladdningar till steg som hanterar 2FA-implementering och dataöverföring. Dessutom använder kitet förfinad smygtaktik, fördröjer tillhandahållande av skadlig resurs till efter Cloudflare-utmaningslösningen och använder slumpmässigt namngivna webbadresser för att undvika upptäckt.
Sekoia varnar också om potentiella kopplingar mellan Tycoon 2FA och andra kända nätfiskeplattformar, och föreslår delad infrastruktur och möjligen delade kodbaser, och uppmanar till ökad vaksamhet mot sådana hot.