Sajber-sigurnosni pejzaž suočava se sa rastućom prijetnjom pojavom Tycoon 2FA phishing kita, sofisticirane Phishing-as-a-Service (PhaaS) platforme dizajnirane da zaobiđe MFA i izbjegne otkrivanje.
Prvi put identifikovan u avgustu 2023. godine, Tycoon 2FA je prošao kroz značajna ažuriranja, što ga čini jednim od najmoćnijih alata za sajber kriminalce koji ciljaju usluge kao što su Microsoft 365 i Gmail.
Tycoon 2FA koristi Adversary-in-the-Middle ( AiTM ) pristup, koristeći obrnuti proxy server za presretanje korisničkih kredencijala i kolačića sesije.
Proces krađe identiteta počinje tako što se žrtve namamljuju putem malicioznih veza u e-porukama ili QR kodovima. Izazov Cloudflare Turnstile zatim filtrira botove, osiguravajući da samo ljudski korisnici nastave.
Ovdje su sigurnosni analitičari primijetili da su korisnici naknadno preusmjereni na lažnu stranicu za prijavu koja oponaša Microsoft ili Google portale za autentifikaciju, gdje se njihovi kredencijali i MFA kodovi snimaju u realnom vremenu.
.webp)
Konačno, kolačići sesije se presreću tokom MFA procesa, omogućavajući napadačima da dobiju neovlašteni pristup bez potrebe za ponovnom akreditacijom žrtve.
Inovacije u Evasion
Najnovija verzija Tycoon 2FA, promatrana u novembru 2024., uključuje napredne taktike za ometanje analize i otkrivanja:
- Opstruktivni izvorni kod : stranice za krađu identiteta koriste posebno kreiran JavaScript i HTML kod koji izostavlja tradicionalne pozive resursa, što komplikuje automatsku analizu.
- Dinamičko generisanje koda : Svako izvršenje generiše jedinstveni kod, izbjegavajući sisteme detekcije zasnovane na potpisu.
- Sigurnosni alati za blokiranje : Komplet otkriva alate za testiranje penetracije kao što je Burp Suite i preusmjerava korisnike na prazne stranice ako su takvi alati identifikovani.
- Nadgledanje pritiska na tipku : osluškuje prečice programera ili inspekciju tipki, blokira radnje ili preusmjerava korisnike na legitimne stranice kao što je OneDrive.
- Onemogućavanje kontekstnog menija : Meni desnim klikom su onemogućeni kako bi se spriječila ručna inspekcija web elemenata.
- Manipulacija međuskladištem : Pokušaji kopiranja teksta sa phishing stranice rezultuju prepisanim sadržajem međumemorije, što ometa ekstrakciju podataka.
Sposobnost Tycoon 2FA da zaobiđe MFA zaštitu predstavlja ozbiljan rizik za organizacije koje se oslanjaju na autentifikaciju zasnovanu na sesiji.
Koristeći kolačiće sesije, napadači mogu zadržati uporan pristup čak i ako se kredencijali promijene.
Ova mogućnost je učinila Tycoon 2FA popularnim izborom među sajber kriminalcima, s preko 1.100 domena uključenih u phishing kampanje.
Finansijski, operateri Tycoon 2FA su značajno profitirali, sa izvještajima koji ukazuju na zaradu od kriptovaluta blizu 400.000 dolara do marta 2024.
Komplet se prodaje na platformama poput Telegrama po cijenama od čak 120 dolara za 10-dnevnu phishing kampanju.
Da bi se suprotstavile prijetnjama poput Tycoon 2FA, organizacije moraju usvojiti višeslojne sigurnosne mjere :-
- Sistemi detekcije zasnovani na ponašanju
- MFA metode otporne na phishing
- Obrazujte zaposlene
- Uvedite napredna rješenja za filtriranje e-pošte
Izvor: CyberSecurityNews
