Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν μια νέα πλατφόρμα phishing-as-a-service (PhaaS) με το όνομα “Tycoon 2FA” και στοχεύουν λογαριασμούς Microsoft 365 και Gmail, παρακάμπτοντας τον έλεγχο ταυτότητας δύο παραγόντων (2FA).
Το Tycoon 2FA ανακαλύφθηκε από αναλυτές της Sekoia τον Οκτώβριο του 2023, αλλά ήταν ενεργό τουλάχιστον από τον Αύγουστο του 2023, όταν η ομάδα Saad Tycoon πρόσφερε την πλατφόρμα μέσω ιδιωτικών καναλιών Telegram.
Υπάρχουν ομοιότητες με άλλες πλατφόρμες adversary-in-the-middle (AitM), όπως η Dadsec OTT, το οποίο σημαίνει ότι μπορεί να υπάρχει επαναχρησιμοποίηση κώδικα ή μια συνεργασία μεταξύ των προγραμματιστών των πλατφορμών.
Δείτε επίσης: Phishing επιθέσεις διανέμουν το StrelaStealer malware σε Ευρώπη και ΗΠΑ
Το 2024, η πλατφόρμα Tycoon 2FA κυκλοφόρησε μια νέα βελτιωμένη έκδοση. Επί του παρόντος, η υπηρεσία αξιοποιεί 1.100 domains και έχει χρησιμοποιηθεί σε χιλιάδες επιθέσεις phishing.
Tycoon 2FA
Οι επιθέσεις Tycoon 2FA περιλαμβάνουν πολλαπλά βήματα. “Μόλις ο χρήστης ολοκληρώσει το MFA challenge και ο έλεγχος ταυτότητας είναι επιτυχής, ο server in the middle καταγράφει τα session cookies“, εξηγεί η Sekoia. Με αυτόν τον τρόπο, ο εισβολέας μπορεί να αναπαράγει ξανά το session ενός χρήστη και να παρακάμψει μηχανισμούς ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Ας δούμε, όμως, πιο αναλυτικά τα στάδια μιας phishing επίθεσης Tycoon 2FA, σύμφωνα με τις περιγραφές της Sekoia:
Στάδιο 0: Οι επιτιθέμενοι διανέμουν κακόβουλους συνδέσμους μέσω email, με ενσωματωμένες διευθύνσεις URL ή κωδικούς QR. Μέσω αυτών, τα θύματα αποκτούν πρόσβαση σε σελίδες phishing.
Στάδιο 1: Ένα security challenge (Cloudflare Turnstile) φιλτράρει τα ρομπότ, επιτρέποντας μόνο σε ανθρώπους χρήστες να προχωρήσουν στον παραπλανητικό ιστότοπο phishing.
Στάδιο 2: Τα scripts παρασκηνίου εξάγουν το email του θύματος από τη διεύθυνση URL, για να προσαρμόσουν την επίθεση phishing.
Στάδιο 3: Οι χρήστες ανακατευθύνονται σε άλλο μέρος του ιστότοπου phishing, φτάνοντας πιο κοντά στην ψεύτικη σελίδα σύνδεσης.
Στάδιο 4: Εμφανίζεται μια ψεύτικη σελίδα σύνδεσης της Microsoft, με στόχο την κλοπή credentials.
Στάδιο 5: Η phishing πλατφόρμα Tycoon 2FA μιμείται ένα 2FA challenge
, παρεμβαίνοντας στο 2FA token και παρακάμπτοντας μέτρα ασφαλείας.Στάδιο 6: Τα θύματα κατευθύνονται σε μια σελίδα που φαίνεται νόμιμη.
Δείτε επίσης: Hackers εκμεταλλεύονται DDP sites για phishing επιθέσεις
Η Sekoia αναφέρει ότι η τελευταία έκδοση της phishing πλατφόρμας Tycoon 2FA έχει εισαγάγει σημαντικές τροποποιήσεις που βελτιώνουν τις δυνατότητες phishing και διαφυγής.
Οι βασικές αλλαγές περιλαμβάνουν ενημερώσεις στον κώδικα JavaScript και HTML, αλλαγές στη σειρά ανάκτησης πόρων και πιο εκτεταμένο φιλτράρισμα για τον αποκλεισμό του traffic από bots.
Όσον αφορά την κλίμακα των επιθέσεων, η Sekoia αναφέρει ότι υπάρχουν στοιχεία για πολλούς κυβερνοεγκληματίες που χρησιμοποιούν το Tycoon 2FA για επιχειρήσεις phishing. Το πορτοφόλι Bitcoin που συνδέεται με τους χειριστές έχει καταγράψει περισσότερες από 1.800 συναλλαγές από τον Οκτώβριο του 2019, με μια αξιοσημείωτη αύξηση από τον Αύγουστο του 2023, όταν κυκλοφόρησε το κιτ.
Η ‘Tycoon 2FA’ επιτρέπει στους κυβερνοεγκληματίες να παρακάμπτουν την προστασία δύο παραγόντων (2FA), πράγμα που αυξάνει τις πιθανότητες επιτυχημένων επιθέσεων phishing.
Δείτε επίσης: Νέα phishing καμπάνια στοχεύει τις ΗΠΑ με το NetSupport RAT
Οι χρήστες των λογαριασμών Microsoft 365 και Gmail είναι εκτεθειμένοι σε μεγαλύτερο κίνδυνο, καθώς η ‘Tycoon 2FA’ μπορεί να παρακάμψει τα μέτρα ασφαλείας αυτών των πλατφορμών.
Οι επιθέσεις αυτές μπορούν να οδηγήσουν σε απώλεια εμπιστευτικών δεδομένων, όπως προσωπικές πληροφορίες, διαπιστευτήρια πρόσβασης και εταιρικά δεδομένα. Επιπλέον, μπορούν να υπάρχουν οικονομικές απώλειες, καθώς οι επιθέσεις phishing μπορούν να χρησιμοποιηθούν για την παραπλάνηση των θυμάτων να παραδώσουν τα διαπιστευτήρια τους για τραπεζικούς λογαριασμούς ή άλλες υπηρεσίες πληρωμής.
Πηγή: www.bleepingcomputer.com