Tycoon 2FA, un kit de phishing AiTM (Adversary-in-The-Middle), a fost recent analizat în detaliu de echipa de analiști de la Sekoia. Această platformă de Phishing-as-a-Service (PhaaS), activă din august 2023, a fost identificată ca fiind utilizată de mai mulți actori de amenințare pentru a executa atacuri extinse și eficiente.
Oferta hackerilor și evoluția Tycoon 2FA
În octombrie 2023, în timpul verificărilor de rutină, analiștii au găsit acest kit de phishing AiTM și au observat că Tycoon 2FA a devenit rapid unul dintre cele mai populare kit-uri de acest tip, cu peste 1.100 de domenii detectate în ultimele luni.
Tycoon 2FA funcționează în mai multe etape pentru a-și desfășura activitățile. Kitul începe prin a încerca să înșele victimele să viziteze o pagină care prezintă o provocare de securitate Cloudflare, pentru a preveni traficul nedorit. “Cloudflare Checking if the site connection is secure” funcționează prin prezentarea unui test sau a unei provocări către utilizatori, atunci când aceștia încearcă să acceseze un site web. Acest test poate fi, de exemplu, o verificare CAPTCHA sau o întrebare de securitate. Dacă utilizatorul trece testul, i se permite accesul la site. Dacă nu, accesul este blocat.
În cazul Tycoon 2FA, utilizatorilor le apare o pagină falsă de autentificare Microsoft unde li se recoltează datele de autentificare. Kitul de phishing fură informațiile de autentificare ale utilizatorului și le folosește pentru a se conecta la contul lui de Microsoft, ocolind autentificarea multi-factor.
Capturile de ecran apar pe canalul de Telegram al grupului „Saad Tycoon Group”, care pare să facă publicitate și să ofere detalii despre un serviciu numit „Tycoon 2FA”. Acestea oferă câteva informații importante:
- Prezentarea ofertelor: Pe 11 decembrie, se introduc noi prețuri și planuri pentru luna decembrie, sugerând că sunt prețuri speciale de sfârșit de an pentru diferite domenii de internet (.com, .ru, .su, .fr etc.), cu costuri variabile (120$-320$) în funcție de durata planurilor (10, 14, 20 sau 30 de zile).
- Expirarea planurilor: Se menționează că planurile de 10 și 14 zile vor expira la 1 ianuarie 2024, invitându-i pe utilizatori să profite de ultimele zile ale anului.
- Domenii multiple: Într-o altă postare, se spune că acum utilizatorii pot alege orice extensie de domeniu, inclusiv .ru, .su, .fr, .com, .net, .org și altele.
- Caracteristicile serviciului: O altă postare oferă o listă de beneficii și caracteristici ale serviciului Tycoon 2FA, inclusiv:
- metode mai sofisticate sau eficiente de a captura credențiale și de a ocoli sistemele de securitate pentru Office365, Gmail și alte servicii.
- Capacitatea de a ocoli autentificarea cu două factori (2FA) și de a furniza cookie-uri care pot dura până la un an.
- Protecție completă împotriva detectării prin diverse metode.
- Angajamentul că „serviciul oferă rezultate optime, respectând promisiunea pe care am făcut-o”.
Versiunea recentă a Tycoon 2FA, identificată în februarie 2024, aduce îmbunătățiri în ceea ce privește mascarea și capacitățile de evitare a detectării, modificând felul în care datele circulă prin rețea. Schimbările includ modificări în codurile JavaScript și HTML, consolidarea descărcărilor JavaScript în diferite etape pentru gestionarea implementării 2FA și transmiterea datelor, și o adaptare pentru a evita detectarea prin identificarea și ocolirea diverselor modele de trafic.
În răspuns la această evoluție, Sekoia a analizat schimbările și a evidențiat noua infrastructură, oferind comunității de securitate cibernetică informații pentru monitorizarea și atenuarea riscurilor asociate cu Tycoon 2FA.
Mulți oameni cred în mod eronat că dacă au activat 2FA pe un cont, atunci acesta nu mai poate fi compromis. Din păcate, sunt departe de adevăr. Chiar și cu măsuri moderne de securitate tehnică în vigoare, există întotdeauna un risc. De aceea, este esențial ca oamenii să cunoască diverse metode de securitate cibernetică, inclusiv cum să identifice și să evite atacurile de phishing, pentru a-și proteja mai bine conturile personale și ale companiilor.
