Tycoon Phishing Kit
L'aparició de Tycoon 2FA, un nou kit de pesca, ha despertat importants preocupacions a la comunitat de ciberseguretat. Comercialitzat com a part del servei Phishing-as-a-Service (PaaS) de Tycoon Group a Telegram, està disponible per tan sols 120 dòlars. Entre les seves característiques clau es troben les capacitats per evitar l'autenticació de dos factors de Microsoft, aconseguir la velocitat d'enllaç de primer nivell i utilitzar Cloudflare per eludir les mesures antibot, garantint així la persistència dels enllaços de pesca no detectats.
A mitjans d'octubre de 2023, el kit de pesca es va actualitzar i els ciberdelinqüents prometien operacions d'enllaç i fitxers adjunts més fluids. Aquesta actualització va coincidir amb la integració de la tecnologia WebSocket a les seves pàgines de pesca, millorant la comunicació de navegador a servidor per a una transmissió de dades més eficient als servidors dels actors.
El febrer de 2024, Tycoon Group va introduir una nova funció dirigida als usuaris de Gmail, que permetia evitar l'autenticació de dos factors. Aquesta versió inclou una pàgina d'inici de sessió "Display" de Gmail i Google Captcha, ampliant el seu públic objectiu potencial més enllà dels usuaris de Microsoft 365.
En una actualització més recent, el grup va introduir suport per als subscriptors per recopilar galetes de serveis de federació d'Active Directory (ADFS), específicament dirigides als mecanismes d'autenticació de les organitzacions que utilitzen ADFS.
Taula de continguts
La cadena d’infecció de Tycoon Phishing Kit
La seqüència de la cadena d'atac comença amb una campanya de pesca estàndard que explota dominis de confiança i serveis basats en núvol per ocultar l'URL de destinació real de la pàgina de destinació principal de pesca. Aquesta estratègia implica aprofitar serveis de màrqueting i correu en línia de bona reputació, butlletins informatius o plataformes d'intercanvi de documents com a redireccionadors d'URL o amfitrions per a documents seductors que contenen enllaços a la pàgina de pesca final.
La redirecció es produeix en fer clic a un enllaç del correu electrònic, que condueix a un document d'engany amb un enllaç a la pàgina de pesca principal o directament a la pàgina de destinació de pesca principal facilitada per un redirector.
La pàgina de destinació principal de pesca inclou dos components principals: un script PHP "index.php" responsable de carregar el seu component secundari, un fitxer ".JS" amb el prefix "myscr". La funció d'aquest últim component és generar el codi HTML per a la pàgina de pesca.
La campanya Tycoon Phishing verifica si les víctimes no són robots
L'script del segon component utilitza diverses tècniques d'ofuscació per eludir els rastrejadors de bots i els motors antispam. Un d'aquests mètodes implica una llarga matriu de caràcters representats com a nombres enters decimals. Cada nombre enter es converteix en caràcters i després es concatena per formar el codi font HTML de la pàgina de pesca. A més, l'script utilitza una tècnica d'ofuscació coneguda com a "predicat opac", que introdueix codi redundant al flux del programa per enfosquir la lògica subjacent de l'script.
Inicialment, JavaScript realitza un prefiltratge mitjançant el servei CloudFlare Turnstile per verificar que un humà accedeix a l'enllaç, distingint-lo dels rastrejadors de robots automatitzats. Els usuaris d'aquest servei de pesca com a servei (PaaS) poden activar aquesta funció al tauler d'administració i proporcionar les claus de CloudFlare associades als seus comptes. Aquesta integració també proporciona mètriques addicionals per al phisher a través del tauler de control de CloudFlare.
Després de la verificació correcta, JavaScript carrega una pàgina d'inici de sessió falsificada adaptada al tema de pesca escollit pel subscriptor. Per exemple, pot imitar una pàgina d'inici de sessió de Microsoft 365.
Tycoon ofereix als seus clients un control de tauler de control
Tycoon Group PaaS ofereix un tauler d'administració accessible per als subscriptors o llogaters, que els concedeix la possibilitat d'iniciar sessió, crear i supervisar campanyes, així com supervisar les credencials de phishing.
Els usuaris poden tenir accés al panell durant un període determinat, depenent del seu nivell de subscripció. Les persones poden iniciar campanyes noves a la secció de configuració, escollint el tema de pesca preferit i ajustant diverses funcions de PaaS. A més, els subscriptors poden supervisar les credencials de phishing, que inclouen noms d'usuari, contrasenyes i galetes de sessió. A més, el servei permet als subscriptors reenviar els resultats de la pesca als seus comptes de Telegram.
Els atacs de pesca són cada cop més fàcils d’executar mitjançant kits de pesca com Tycoon
L'aparició del model Phishing-as-a-Service, exemplificat per entitats com Tycoon Group, ha reduït significativament la barrera d'entrada per executar atacs de phishing sofisticats, fins i tot per als delinqüents amb menys experiència. Aquesta accessibilitat és evident en l'augment d'atacs de pesca que utilitzen aquests serveis, tal com han assenyalat els investigadors. El que diferencia Tycoon Group és la incorporació de la tecnologia WebSocket a la pàgina de pesca, que permet una transmissió de dades més fluida entre el navegador i el servidor de l'atacant. A més, aquesta funció simplifica la gestió de campanyes i la supervisió de les credencials de phishing per als actors subscrits.
