Tycoon Phishing Kit

أثار ظهور Tycoon 2FA، وهي مجموعة جديدة من أدوات التصيد الاحتيالي، مخاوف كبيرة داخل مجتمع الأمن السيبراني. يتم تسويقه كجزء من خدمة التصيد الاحتيالي (PaaS) التابعة لمجموعة Tycoon Group على Telegram، وهو متاح بسعر يبدأ من 120 دولارًا. ومن بين ميزاته الرئيسية القدرة على تجاوز مصادقة Microsoft ذات العاملين، وتحقيق سرعة ارتباط عالية المستوى، واستخدام Cloudflare للتحايل على تدابير مكافحة الروبوتات، وبالتالي ضمان استمرار روابط التصيد الاحتيالي التي لم يتم اكتشافها.

في منتصف أكتوبر 2023، تم تحديث مجموعة التصيد الاحتيالي، حيث وعد مجرمو الإنترنت بعمليات ربط وإرفاق أكثر سلاسة. تزامن هذا التحديث مع دمج تقنية WebSocket في صفحات التصيد الخاصة بهم، مما يعزز الاتصال من المتصفح إلى الخادم لنقل البيانات بشكل أكثر كفاءة إلى خوادم الجهات الفاعلة.

بحلول فبراير 2024، قدمت مجموعة Tycoon Group ميزة جديدة تستهدف مستخدمي Gmail، مما يسمح بتجاوز المصادقة الثنائية. يتضمن هذا الإصدار صفحة تسجيل دخول "عرض" في Gmail وGoogle Captcha، مما يعمل على توسيع جمهوره المستهدف المحتمل إلى ما هو أبعد من مستخدمي Microsoft 365.

في تحديث أحدث، قدمت المجموعة الدعم للمشتركين لجمع ملفات تعريف الارتباط لخدمات اتحاد الدليل النشط (ADFS)، والتي تستهدف على وجه التحديد آليات مصادقة المؤسسات التي تستخدم ADFS.

سلسلة عدوى مجموعة التصيد الاحتيالي

يبدأ تسلسل سلسلة الهجوم بحملة تصيد احتيالي قياسية تستغل النطاقات الموثوقة والخدمات المستندة إلى السحابة لإخفاء عنوان URL الوجهة الحقيقي للصفحة الرئيسية للتصيد الاحتيالي. تستلزم هذه الإستراتيجية الاستفادة من خدمات البريد الإلكتروني والتسويق ذات السمعة الطيبة أو الرسائل الإخبارية أو منصات مشاركة المستندات كمعيدي توجيه عناوين URL أو مضيفين للمستندات الخادعة التي تحتوي على روابط إلى صفحة التصيد النهائية.

تتم إعادة التوجيه عند النقر على رابط في البريد الإلكتروني، مما يؤدي إما إلى مستند خادع يحتوي على رابط إلى صفحة التصيد الأساسية أو مباشرة إلى صفحة التصيد الرئيسية الرئيسية التي يسهلها معيد التوجيه.

تشتمل الصفحة الرئيسية للتصيد الاحتيالي على مكونين أساسيين: برنامج PHP النصي 'index.php' المسؤول عن تحميل مكونه الثانوي، وملف '.JS' مسبوق بـ 'myscr'. يتمثل دور المكون الأخير في إنشاء كود HTML لصفحة التصيد الاحتيالي.

تتحقق حملة التصيد الاحتيالي من Tycoon مما إذا كان الضحايا ليسوا روبوتات

يستخدم البرنامج النصي المكون الثاني تقنيات تشويش مختلفة لتفادي برامج زحف الروبوتات ومحركات مكافحة البريد العشوائي. تتضمن إحدى هذه الطرق مجموعة طويلة من الأحرف الممثلة كأعداد صحيحة عشرية. يخضع كل عدد صحيح للتحويل إلى أحرف ثم يتم ربطه لتكوين كود مصدر HTML لصفحة التصيد الاحتيالي. بالإضافة إلى ذلك، يستخدم البرنامج النصي تقنية التشويش المعروفة باسم "المسند غير الشفاف"، حيث يقوم بإدخال تعليمات برمجية زائدة في تدفق البرنامج لإخفاء المنطق الأساسي للبرنامج النصي.

في البداية، تقوم JavaScript بإجراء التصفية المسبقة باستخدام خدمة CloudFlare Turnstile للتحقق من وصول الإنسان إلى الرابط، مما يميزه عن برامج زحف الروبوتات الآلية. يمكن لمستخدمي خدمة التصيد الاحتيالي (PaaS) تنشيط هذه الميزة في لوحة الإدارة وتوفير مفاتيح CloudFlare المرتبطة بحساباتهم. يوفر هذا التكامل أيضًا مقاييس إضافية للمخادع من خلال لوحة معلومات CloudFlare.

بعد التحقق الناجح، يقوم جافا سكريبت بتحميل صفحة تسجيل دخول مزيفة مصممة خصيصًا لموضوع التصيد الذي اختاره المشترك. على سبيل المثال، قد يحاكي صفحة تسجيل الدخول إلى Microsoft 365.

يوفر Tycoon لعملائه إمكانية التحكم في لوحة التحكم

توفر Tycoon Group PaaS لوحة إدارة يمكن للمشتركين أو المستأجرين الوصول إليها، مما يمنحهم القدرة على تسجيل الدخول وإنشاء الحملات ومراقبتها، بالإضافة إلى الإشراف على بيانات الاعتماد المخادعة.

يمكن للمستخدمين الوصول إلى اللوحة لفترة محددة، اعتمادًا على مستوى اشتراكهم. يمكن للأفراد بدء حملات جديدة ضمن قسم الإعدادات، واختيار موضوع التصيد المفضل وضبط ميزات PaaS المتنوعة. بالإضافة إلى ذلك، يمكن للمشتركين الإشراف على بيانات الاعتماد المخادعة، بما في ذلك أسماء المستخدمين وكلمات المرور وملفات تعريف الارتباط الخاصة بالجلسة. علاوة على ذلك، تسمح الخدمة للمشتركين بإعادة توجيه نتائج التصيد الاحتيالي إلى حساباتهم على Telegram.

أصبحت هجمات التصيد الاحتيالي أسهل في التنفيذ عبر مجموعات التصيد الاحتيالي مثل Tycoon

وقد أدى ظهور نموذج التصيد الاحتيالي كخدمة، والذي تجسده كيانات مثل مجموعة تايكون، إلى خفض حاجز الدخول بشكل كبير لتنفيذ هجمات التصيد الاحتيالي المعقدة، حتى بالنسبة للمجرمين الأقل خبرة. تتجلى إمكانية الوصول هذه في زيادة هجمات التصيد الاحتيالي التي تستخدم هذه الخدمات، كما لاحظ الباحثون. ما يميز Tycoon Group هو دمجها لتقنية WebSocket في صفحة التصيد الاحتيالي، مما يتيح نقل البيانات بشكل أكثر سلاسة بين المتصفح وخادم المهاجم. علاوة على ذلك، تعمل هذه الميزة على تبسيط إدارة الحملة والإشراف على بيانات الاعتماد المخادعة للجهات الفاعلة المشتركة.