Novi talas phishing napada iskorištava lažne e-poruke sa izvještajima o vremenskom rasporedu kako bi namamio žrtve u sofisticirani Tycoon 2FA phishing komplet .
Ova kampanja koristi Pinterest Visual Bookmarks kao posrednike, dodajući obmanjujući sloj legitimiteta svojoj taktici.
Spider laboratorije upozoravaju korisnike da ostanu na oprezu jer ovi napadi imaju za cilj zaobići višefaktorsku autentifikaciju (MFA) i prikupiti osjetljive kredencijale.
Kako funkcioniše napad
Lažno obavještenje o vremenskom rasporedu: Prema SpiderLabsovoj objavi na X, napad počinje e-poštom pod nazivom “Izvještaj o vremenskom rasporedu”, u kojoj se tvrdi da su nove informacije dodane u raspored sati primaoca. E-pošta uključuje dugme „Prikaži raspored“, koje korisnika preusmjerava na vezu Pinterest Visual Bookmark.
Pinterest Visual Bookmark: Veza vodi do stranice hostovane na Pinterestu, koja prikazuje Microsoft logo i dugme „Posjeti“. Ovaj posrednički korak je dizajniran da smanji sumnju korištenjem reputacije Pinteresta.
Cloudflare CAPTCHA izazov: Klikom na “Posjeti” korisnike preusmjeravate na stranicu sa Cloudflare CAPTCHA izazovom. Ovaj korak filtrira automatizovane botove i dodaje još jedan sloj percipirane legitimnosti.
Lažna Microsoft stranica za prijavu: Nakon ispunjavanja CAPTCHA, korisnici se odvode na lažnu Microsoft stranicu za prijavu. Ovdje se od žrtava traži da unesu svoje akreditive, koje napadači odmah prikupljaju.
Tycoon 2FA Phishing Kit: Sofisticirana prijetnja
Tycoon 2FA phishing kit radi kao Phishing-as-a-Service (PhaaS) platforma. Prvi put identifikovan u avgustu 2023. godine, značajno je evoluirao da zaobiđe MFA zaštitu, što ga čini jednim od najnaprednijih kompleta za krađu identiteta u opticaju. Ključne karakteristike uključuju:
Sakupljanje sesijskih kolačića: Tycoon 2FA presreće kolačiće sesije sa Microsoft 365 ili Gmail naloga, omogućavajući napadačima da zaobiđu MFA čak i ako je omogućen.
Zamagljeni kod: Stranice za krađu identiteta koriste jako zamagljen JavaScript i HTML kod, što otežava sigurnosnim alatima i analitičarima da otkriju maliciozne namjere.
Mjere protiv inspekcije: Komplet otkriva alate za razvojne programere ili skripte za testiranje penetracije i blokira dalje radnje. Takođe onemogućava menije desnim klikom i prepisuje sadržaj međuspremnika kako bi ometao analizu.
Filtriranje saobraćaja: Komplet za krađu identiteta koristi napredne tehnike filtriranja saobraćaja, kao što je blokiranje IP adresa centara podataka , Tor saobraćaja i specifičnih korisničkih agenata bota.
Strategije ublažavanja
Za zaštitu od Tycoon 2FA i sličnih phishing napada:
- Uvijek provjerite detalje o pošiljaocu i izbjegavajte klikanje na veze iz neželjenih e-poruka.
- Koristite rješenja za filtriranje e-pošte koja otkrivaju pokušaje krađe identiteta na osnovu obrazaca ponašanja i IoC-a.
- Provedite redovnu obuku za podizanje svijesti o sigurnosti za zaposlene o identifikaciji phishing e-poruka.
- Implementirajte rješenja koja prate korištenje kolačića sesije za anomalije.
- Razmislite o korištenju MFA ključeva zasnovanih na hardveru ili biometrijske autentifikacije za dodatnu sigurnost.
Tycoon 2FA phishing kit predstavlja rastuću sofisticiranost sajber prijetnji u današnjem digitalnom okruženju.
Izvor: CyberSecurityNews