Tycoon 网络钓鱼工具包使用多种攻击媒介
网络安全社区对最近发现的名为 Tycoon 2FA 的网络钓鱼工具包表示严重担忧。该套件由 Sekoia 威胁检测与研究 (TDR) 团队于 2023 年 10 月发现,并在今天发布的公告中进行了讨论,该套件采用中间对手 (AiTM) 技术,据称被多个威胁行为者用来进行广泛的攻击和有效的攻击。
根据 Sekoia 的调查结果,Tycoon 2FA 平台至少自 2023 年 8 月起就一直活跃,该公司自发现以来一直在努力监控其相关基础设施。他们的分析表明,Tycoon 2FA 是最流行的 AiTM 网络钓鱼工具包之一,在 2023 年 10 月至 2024 年 2 月期间检测到了 1,100 多个域名。
Tycoon 2FA 网络钓鱼工具包通过多个阶段运行,以有效地执行其恶意活动。最初,受害者通过电子邮件附件或二维码被引导至一个包含 Cloudflare Turnstile 挑战的页面,旨在阻止不需要的流量。完成此挑战后,用户会遇到伪造的 Microsoft 身份验证页面,他们的凭据将在其中被获取。然后,该工具包将此信息中继到合法的 Microsoft 身份验证 API,拦截会话 cookie 以绕过多重身份验证 (MFA)。
新大亨版本重大变化
Sekoia 在最新的通报中指出,2024 年 2 月发现了 Tycoon 2FA 新版本,其 JavaScript 和 HTML 代码发生了重大变化,从而增强了其网络钓鱼功能。值得注意的更改包括从初始 HTML 页面中排除 Cloudflare Turnstile 挑战,以及将以前单独的 JavaScript 下载合并到处理 2FA 实施和数据传输的阶段。此外,该套件采用了精致的隐形策略,将恶意资源提供延迟到 Cloudflare 挑战解决之后,并使用随机命名的 URL 来逃避检测。
Sekoia 还对 Tycoon 2FA 和其他已知网络钓鱼平台之间的潜在联系发出警报,建议共享基础设施和可能共享的代码库,敦促对此类威胁提高警惕。