Tycoon 網路釣魚工具包使用多種攻擊媒介

網路安全社群對最近發現的名為 Tycoon 2FA 的網路釣魚工具包表示嚴重擔憂。該套件由Sekoia 威脅檢測與研究(TDR) 團隊於2023 年10 月發現，並在今天發布的公告中進行了討論，該套件採用中間對手(AiTM) 技術，據稱被多個威脅行為者用來進行廣泛的攻擊和有效的攻擊。

根據 Sekoia 的調查結果，Tycoon 2FA 平台至少自 2023 年 8 月起就一直活躍，該公司自發現以來一直在努力監控其相關基礎設施。他們的分析表明，Tycoon 2FA 是最受歡迎的 AiTM 網路釣魚工具包之一，在 2023 年 10 月至 2024 年 2 月期間檢測到了 1,100 多個網域。

Tycoon 2FA 網路釣魚工具包透過多個階段運行，以有效地執行其惡意活動。最初，受害者透過電子郵件附件或二維碼被引導至一個包含 Cloudflare Turnstile 挑戰的頁面，旨在阻止不必要的流量。完成此挑戰後，使用者會遇到偽造的 Microsoft 身份驗證頁面，他們的憑證將在其中取得。然後，工具包將此資訊中繼到合法的 Microsoft 驗證 API，攔截會話 cookie 以繞過多重驗證 (MFA)。

新大亨版本重大變化

Sekoia 在最新的通報中指出，2024 年 2 月發現了 Tycoon 2FA 新版本，其 JavaScript 和 HTML 程式碼發生了重大變化，從而增強了其網路釣魚功能。值得注意的變更包括從初始 HTML 頁面中排除 Cloudflare Turnstile 挑戰，以及將先前單獨的 JavaScript 下載合併到處理 2FA 實施和資料傳輸的階段。此外，該套件採用了精緻的隱形策略，將惡意資源提供延遲到 Cloudflare 挑戰解決之後，並使用隨機命名的 URL 來逃避檢測。

Sekoia 也對 Tycoon 2FA 和其他已知網路釣魚平台之間的潛在聯繫發出警報，建議共享基礎設施和可能共享的程式碼庫，敦促對此類威脅提高警惕。