Tycoon 網路釣魚工具包使用多種攻擊媒介
網路安全社群對最近發現的名為 Tycoon 2FA 的網路釣魚工具包表示嚴重擔憂。該套件由Sekoia 威脅檢測與研究(TDR) 團隊於2023 年10 月發現,並在今天發布的公告中進行了討論,該套件採用中間對手(AiTM) 技術,據稱被多個威脅行為者用來進行廣泛的攻擊和有效的攻擊。
根據 Sekoia 的調查結果,Tycoon 2FA 平台至少自 2023 年 8 月起就一直活躍,該公司自發現以來一直在努力監控其相關基礎設施。他們的分析表明,Tycoon 2FA 是最受歡迎的 AiTM 網路釣魚工具包之一,在 2023 年 10 月至 2024 年 2 月期間檢測到了 1,100 多個網域。
Tycoon 2FA 網路釣魚工具包透過多個階段運行,以有效地執行其惡意活動。最初,受害者透過電子郵件附件或二維碼被引導至一個包含 Cloudflare Turnstile 挑戰的頁面,旨在阻止不必要的流量。完成此挑戰後,使用者會遇到偽造的 Microsoft 身份驗證頁面,他們的憑證將在其中取得。然後,工具包將此資訊中繼到合法的 Microsoft 驗證 API,攔截會話 cookie 以繞過多重驗證 (MFA)。
新大亨版本重大變化
Sekoia 在最新的通報中指出,2024 年 2 月發現了 Tycoon 2FA 新版本,其 JavaScript 和 HTML 程式碼發生了重大變化,從而增強了其網路釣魚功能。值得注意的變更包括從初始 HTML 頁面中排除 Cloudflare Turnstile 挑戰,以及將先前單獨的 JavaScript 下載合併到處理 2FA 實施和資料傳輸的階段。此外,該套件採用了精緻的隱形策略,將惡意資源提供延遲到 Cloudflare 挑戰解決之後,並使用隨機命名的 URL 來逃避檢測。
Sekoia 也對 Tycoon 2FA 和其他已知網路釣魚平台之間的潛在聯繫發出警報,建議共享基礎設施和可能共享的程式碼庫,敦促對此類威脅提高警惕。