O Tycoon Phishing Kit usa vários vetores de ataque
A comunidade de segurança cibernética expressou preocupações significativas sobre um kit de ferramentas de phishing recentemente descoberto chamado Tycoon 2FA. Descoberto pela equipe Sekoia Threat Detection & Research (TDR) em outubro de 2023 e discutido em um comunicado divulgado hoje, este kit emprega a técnica Adversary-in-The-Middle (AiTM) e é supostamente usado por vários atores de ameaças para conduzir ataques generalizados. e ataques eficazes.
De acordo com as conclusões da Sekoia, a plataforma Tycoon 2FA está ativa pelo menos desde agosto de 2023, e a empresa tem monitorado diligentemente a infraestrutura associada desde a sua descoberta. A análise deles indica que o Tycoon 2FA é um dos kits de phishing AiTM mais prevalentes, com mais de 1.100 nomes de domínio detectados entre outubro de 2023 e fevereiro de 2024.
O kit de phishing Tycoon 2FA opera em vários estágios para realizar suas atividades maliciosas com eficiência. Inicialmente, as vítimas são direcionadas por meio de anexos de e-mail ou códigos QR para uma página com um desafio Cloudflare Turnstile destinado a impedir o tráfego indesejado. Depois de completar este desafio, os usuários encontram uma página falsificada de autenticação da Microsoft, onde suas credenciais são coletadas. O kit então retransmite essas informações para a API de autenticação legítima da Microsoft, interceptando cookies de sessão para ignorar a autenticação multifator (MFA).
A nova versão do Tycoon vem com mudanças significativas
No seu último comunicado, a Sekoia observa a identificação de uma nova versão do Tycoon 2FA em fevereiro de 2024, apresentando alterações significativas nos seus códigos JavaScript e HTML, melhorando assim as suas capacidades de phishing. Alterações notáveis incluem a exclusão do desafio Cloudflare Turnstile da página HTML inicial e a consolidação dos antigos downloads separados de JavaScript em estágios que lidam com a implementação de 2FA e transmissão de dados. Além disso, o kit emprega táticas furtivas refinadas, atrasando o fornecimento de recursos maliciosos até depois da resolução do desafio da Cloudflare e usando URLs nomeados aleatoriamente para evitar a detecção.
A Sekoia também alerta sobre possíveis conexões entre o Tycoon 2FA e outras plataformas de phishing conhecidas, sugerindo infraestrutura compartilhada e bases de código possivelmente compartilhadas, pedindo maior vigilância contra tais ameaças.