Tycoon Phishing Kit
Vznik Tycoon 2FA, nové phishingové sady, vyvolal v komunitě kybernetické bezpečnosti značné obavy. Prodává se jako součást Phishing-as-a-Service (PaaS) společnosti Tycoon Group na Telegramu a je k dispozici za pouhých 120 USD. Mezi jeho klíčové funkce patří možnosti obejít dvoufaktorovou autentizaci společnosti Microsoft, dosáhnout nejvyšší rychlosti připojení a využít Cloudflare k obcházení opatření proti botům, čímž zajistíme stálost neodhalených phishingových odkazů.
V polovině října 2023 byla phishingová sada aktualizována a kyberzločinci slibovali plynulejší operace s odkazy a přílohami. Tato aktualizace se časově shodovala s integrací technologie WebSocket do jejich phishingových stránek, čímž se zlepšila komunikace mezi prohlížeči a servery pro efektivnější přenos dat na servery aktérů.
Do února 2024 představila skupina Tycoon novou funkci zaměřenou na uživatele Gmailu, která umožňuje obejít dvoufaktorové ověřování. Tato verze obsahuje přihlašovací stránku Gmailu „Zobrazení“ a Google Captcha, čímž rozšiřuje potenciální cílové publikum mimo uživatele Microsoft 365.
V novější aktualizaci skupina zavedla podporu pro předplatitele shromažďování souborů cookie služby ADFS (Active Directory Federation Services), konkrétně zaměřených na ověřovací mechanismy organizací využívající ADFS.
Obsah
Infekční řetězec Tycoon Phishing Kit
Sekvence řetězce útoků začíná standardní phishingovou kampaní, která využívá důvěryhodné domény a cloudové služby k zakrytí skutečné cílové adresy URL hlavní phishingové vstupní stránky. Tato strategie zahrnuje využití renomovaných online poštovních a marketingových služeb, informačních bulletinů nebo platforem pro sdílení dokumentů jako přesměrovačů adres URL nebo hostitelů návnadových dokumentů obsahujících odkazy na konečnou phishingovou stránku.
K přesměrování dochází po kliknutí na odkaz v e-mailu, který vede buď na návnadu s odkazem na primární phishingovou stránku, nebo přímo na hlavní phishingovou vstupní stránku, kterou zajišťuje přesměrovač.
Hlavní phishingová vstupní stránka se skládá ze dvou primárních komponent: PHP skriptu „index.php“ odpovědného za načtení jeho sekundární komponenty, souboru „.JS“ s předponou „myscr“. Úlohou druhé komponenty je generovat HTML kód pro phishingovou stránku.
Tycoon Phishing Campaign kontroluje, zda oběti nejsou boti
Druhá komponenta skriptu využívá různé matovací techniky, aby se vyhnula robotům a antispamovým enginům. Jedna taková metoda vyžaduje dlouhé pole znaků reprezentovaných jako celá desítková čísla. Každé celé číslo prochází převodem na znaky a je poté zřetězeno, aby vytvořilo zdrojový kód HTML phishingové stránky. Skript navíc využívá obfuskační techniku známou jako „neprůhledný predikát“, která zavádí do toku programu redundantní kód, aby zakryla základní logiku skriptu.
Zpočátku JavaScript provádí předfiltrování pomocí služby CloudFlare Turnstile, aby ověřil, že k odkazu přistupuje člověk, čímž se odlišuje od automatizovaných robotů. Uživatelé této služby Phishing-as-a-Service (PaaS) mohou aktivovat tuto funkci na panelu administrátora a poskytnout klíče CloudFlare spojené s jejich účty. Tato integrace také poskytuje další metriky pro phisher prostřednictvím řídicího panelu CloudFlare.
Po úspěšném ověření JavaScript načte padělanou přihlašovací stránku přizpůsobenou phishingovému tématu zvolenému předplatitelem. Může například napodobovat přihlašovací stránku Microsoft 365.
Tycoon poskytuje svým klientům ovládací panel
Tycoon Group PaaS nabízí administrátorský panel přístupný předplatitelům nebo nájemcům, který jim umožňuje přihlašovat se, vytvářet a monitorovat kampaně a také dohlížet na phishingové přihlašovací údaje.
Uživatelé mohou mít přístup k panelu po nastavenou dobu v závislosti na úrovni jejich předplatného. Jednotlivci mohou zahájit nové kampaně v sekci nastavení, vybrat si preferované téma phishingu a upravit různé funkce PaaS. Kromě toho mohou předplatitelé dohlížet na phishingové přihlašovací údaje, které zahrnují uživatelská jména, hesla a soubory cookie relace. Kromě toho služba umožňuje předplatitelům předávat výsledky phishingu na jejich telegramové účty.
Phishingové útoky se stále snáze provádějí prostřednictvím phishingových sad jako Tycoon
Vznik modelu Phishing-as-a-Service, jehož příkladem jsou subjekty jako Tycoon Group, výrazně snížil bariéru vstupu pro provádění sofistikovaných phishingových útoků, a to i pro méně zkušené zločince. Tato dostupnost je evidentní v nárůstu phishingových útoků využívajících takové služby, jak poznamenali výzkumníci. To, co odlišuje Tycoon Group, je začlenění technologie WebSocket do phishingové stránky, což umožňuje hladší přenos dat mezi prohlížečem a serverem útočníka. Tato funkce navíc zjednodušuje správu kampaní a dohled nad phishingovými přihlašovacími údaji pro přihlášené aktéry.
