Tycoon 网络钓鱼工具包使用多种攻击媒介

网络安全社区对最近发现的名为 Tycoon 2FA 的网络钓鱼工具包表示严重担忧。该套件由 Sekoia 威胁检测与研究 (TDR) 团队于 2023 年 10 月发现，并在今天发布的公告中进行了讨论，该套件采用中间对手 (AiTM) 技术，据称被多个威胁行为者用来进行广泛的攻击和有效的攻击。

根据 Sekoia 的调查结果，Tycoon 2FA 平台至少自 2023 年 8 月起就一直活跃，该公司自发现以来一直在努力监控其相关基础设施。他们的分析表明，Tycoon 2FA 是最流行的 AiTM 网络钓鱼工具包之一，在 2023 年 10 月至 2024 年 2 月期间检测到了 1,100 多个域名。

Tycoon 2FA 网络钓鱼工具包通过多个阶段运行，以有效地执行其恶意活动。最初，受害者通过电子邮件附件或二维码被引导至一个包含 Cloudflare Turnstile 挑战的页面，旨在阻止不需要的流量。完成此挑战后，用户会遇到伪造的 Microsoft 身份验证页面，他们的凭据将在其中被获取。然后，该工具包将此信息中继到合法的 Microsoft 身份验证 API，拦截会话 cookie 以绕过多重身份验证 (MFA)。

新大亨版本重大变化

Sekoia 在最新的通报中指出，2024 年 2 月发现了 Tycoon 2FA 新版本，其 JavaScript 和 HTML 代码发生了重大变化，从而增强了其网络钓鱼功能。值得注意的更改包括从初始 HTML 页面中排除 Cloudflare Turnstile 挑战，以及将以前单独的 JavaScript 下载合并到处理 2FA 实施和数据传输的阶段。此外，该套件采用了精致的隐形策略，将恶意资源提供延迟到 Cloudflare 挑战解决之后，并使用随机命名的 URL 来逃避检测。

Sekoia 还对 Tycoon 2FA 和其他已知网络钓鱼平台之间的潜在联系发出警报，建议共享基础设施和可能共享的代码库，敦促对此类威胁提高警惕。