Tycoon 2FA: Η νέα απειλή στον κυβερνοχώρο

Ένα νέο κιτ phishing με την ονομασία Tycoon 2FA έχει προκαλέσει σημαντικές ανησυχίες στους ειδικούς κυβερνοασφάλειας.  Το κιτ ανακαλύφθηκε από την ομάδα ανίχνευσης και έρευνας απειλών (TDR) της Sekoia τον Οκτώβριο του 2023 και αναφέρεται σε συμβουλευτική έκθεση που δημοσιεύθηκε στις 26 Μαρτίου. Το κιτ συνδέεται με την τεχνική Adversary-in-The-Middle (AiTM) και φέρεται να χρησιμοποιείται από πολλούς φορείς απειλών για την ενορχήστρωση εκτεταμένων και αποτελεσματικών επιθέσεων.

Σύμφωνα με την έρευνα της Sekoia, η πλατφόρμα Tycoon 2FA είναι ενεργή τουλάχιστον από τον Αύγουστο του 2023. Από την ανακάλυψή της, η εταιρεία παρακολουθεί ενεργά την υποδομή που σχετίζεται με το Tycoon 2FA.

Η ανάλυση αποκάλυψε ότι το κιτ έχει αναδειχθεί ως ένα από τα πιο διαδεδομένα κιτ ηλεκτρονικού ψαρέματος τεχνικής AiTM. Το κιτ phishing Tycoon 2FA λειτουργεί μέσω διαφόρων σταδίων για να εκτελέσει αποτελεσματικά τις κακόβουλες δραστηριότητές του.

Πως λειτουργεί:

Αρχικά, τα θύματα κατευθύνονται μέσω συνημμένων email ή κωδικών QR σε μια σελίδα που περιλαμβάνει μια πρόσκληση Cloudflare Turnstile που έχει σχεδιαστεί για να εμποδίζει την ανεπιθύμητη κυκλοφορία. Μετά την επιτυχή ολοκλήρωση, οι χρήστες συναντούν μια ψεύτικη σελίδα ελέγχου ταυτότητας της Microsoft, όπου συλλέγονται τα διαπιστευτήριά τους. Στη συνέχεια, το κιτ phishing διαβιβάζει αυτές τις πληροφορίες στο νόμιμο API ελέγχου ταυτότητας της Microsoft, υποκλέπτοντας τα cookies συνεδρίας για να παρακάμψει τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Στη χθεσινή συμβουλευτική αναφορά ασφαλείας, η Sekoia δήλωσε ότι εντόπισε μια νέα έκδοση του Tycoon 2FA τον Φεβρουάριο του 2024, η οποία διαθέτει σημαντικές αλλαγές στους κώδικες JavaScript και HTML, ενισχύοντας τις δυνατότητες phishing. Συγκεκριμένα, αναδιοργανώνει την ανάκτηση πόρων και επεκτείνει το φιλτράρισμα της κίνησης για να αποτρέψει τη δραστηριότητα bot και τις προσπάθειες ανάλυσης.