Tycoon Phishing Kit
Появата на Tycoon 2FA, нов комплект за фишинг, предизвика сериозни опасения в общността за киберсигурност. Предлага се като част от Phishing-as-a-Service (PaaS) на Tycoon Group в Telegram и се предлага само за $120. Сред ключовите му характеристики са възможностите за заобикаляне на двуфакторното удостоверяване на Microsoft, постигане на скорост на връзката от най-високо ниво и използване на Cloudflare за заобикаляне на антибот мерки, като по този начин се гарантира устойчивостта на неоткритите фишинг връзки.
В средата на октомври 2023 г. комплектът за фишинг беше актуализиран, като киберпрестъпниците обещаха по-плавни операции за връзки и прикачени файлове. Тази актуализация съвпадна с интегрирането на технологията WebSocket в техните фишинг страници, подобрявайки комуникацията между браузър и сървър за по-ефективно предаване на данни към сървърите на участниците.
До февруари 2024 г. Tycoon Group въведе нова функция, насочена към потребителите на Gmail, позволяваща заобикаляне на двуфакторно удостоверяване. Тази версия включва страница за вход в Gmail „Display“ и Google Captcha, разширявайки потенциалната си целева аудитория извън потребителите на Microsoft 365.
В по-скорошна актуализация групата въведе поддръжка за абонати за събиране на бисквитки на Active Directory Federation Services (ADFS), специално насочени към механизмите за удостоверяване на организациите, използващи ADFS.
Съдържание
Веригата за заразяване на Tycoon Phishing Kit
Верижната последователност от атаки започва със стандартна фишинг кампания, която използва доверени домейни и базирани на облак услуги, за да скрие истинския целеви URL адрес на основната фишинг целева страница. Тази стратегия включва използването на реномирани онлайн пощенски и маркетингови услуги, бюлетини или платформи за споделяне на документи като пренасочващи URL адреси или хостове за примамливи документи, съдържащи връзки към крайната фишинг страница.
Пренасочването се извършва при щракване върху връзка в имейла, което води или до примамлив документ с връзка към основната фишинг страница, или директно до основната фишинг целева страница, улеснена от пренасочвач.
Основната целева страница за фишинг се състои от два основни компонента: PHP скрипт „index.php“, отговорен за зареждането на неговия вторичен компонент, файл „.JS“ с префикс „myscr“. Ролята на последния компонент е да генерира HTML кода за фишинг страницата.
Кампанията Tycoon Phishing проверява дали жертвите не са ботове
Скриптът на втория компонент използва различни техники за объркване, за да избегне ботовете и антиспам двигателите. Един такъв метод включва дълъг масив от знаци, представени като десетични цели числа. Всяко цяло число претърпява преобразуване в знаци и след това се свързва, за да образува изходния HTML код на фишинг страницата. Освен това, скриптът използва техника на обфускация, известна като „непрозрачен предикат“, въвеждайки излишен код в потока на програмата, за да скрие основната логика на скрипта.
Първоначално JavaScript извършва предварително филтриране с помощта на услугата CloudFlare Turnstile, за да провери дали връзката е достъпна от човек, разграничавайки я от автоматизираните ботове. Потребителите на този Phishing-as-a-Service (PaaS) могат да активират тази функция в административния панел и да предоставят CloudFlare ключове, свързани с техните акаунти. Тази интеграция също предоставя допълнителни показатели за фишъра чрез таблото за управление на CloudFlare.
При успешна проверка JavaScript зарежда фалшива страница за влизане, съобразена с темата за фишинг, избрана от абоната. Например, може да имитира страница за вход в Microsoft 365.
Tycoon предоставя на своите клиенти контрол на таблото за управление
Tycoon Group PaaS предлага административен панел, достъпен за абонати или наематели, като им дава възможност да влизат, създават и наблюдават кампании, както и да наблюдават фишинг идентификационни данни.
Потребителите могат да имат достъп до панела за определен период, в зависимост от тяхното ниво на абонамент. Индивидите могат да инициират нови кампании в секцията с настройки, като избират предпочитаната тема за фишинг и коригират различни функции на PaaS. Освен това, абонатите могат да наблюдават фишинг идентификационни данни, включващи потребителски имена, пароли и сесийни бисквитки. Освен това услугата позволява на абонатите да препращат резултатите от фишинг към своите акаунти в Telegram.
Фишинг атаките стават все по-лесни за изпълнение чрез комплекти за фишинг като Tycoon
Появата на модела Phishing-as-a-Service, илюстриран от субекти като Tycoon Group, значително намали бариерата за навлизане за изпълнение на сложни фишинг атаки, дори за по-малко опитни престъпници. Тази достъпност е очевидна в нарастването на фишинг атаките, използващи такива услуги, както отбелязват изследователите. Това, което отличава Tycoon Group, е включването на технологията WebSocket във фишинг страницата, което позволява по-плавно предаване на данни между браузъра и сървъра на атакуващия. Освен това тази функция опростява управлението на кампанията и надзора на фишинг идентификационни данни за абонирани участници.
