Tycoon Phishing Kit
Η εμφάνιση του Tycoon 2FA, ενός νέου κιτ phishing, έχει πυροδοτήσει σημαντικές ανησυχίες στην κοινότητα της κυβερνοασφάλειας. Διατίθεται στην αγορά ως μέρος της υπηρεσίας Phishing-as-a-Service (PaaS) του Tycoon Group στο Telegram και είναι διαθέσιμο για μόλις 120 $. Μεταξύ των βασικών χαρακτηριστικών του είναι η δυνατότητα παράκαμψης του ελέγχου ταυτότητας δύο παραγόντων της Microsoft, η επίτευξη ταχύτητας συνδέσμων ανώτατου επιπέδου και η χρήση του Cloudflare για την παράκαμψη μέτρων κατά των ρομπότ, διασφαλίζοντας έτσι τη διατήρηση των συνδέσμων ηλεκτρονικού ψαρέματος που δεν έχουν εντοπιστεί.
Στα μέσα Οκτωβρίου 2023, το κιτ ηλεκτρονικού ψαρέματος ενημερώθηκε, με τους εγκληματίες του κυβερνοχώρου να υπόσχονται πιο ομαλές λειτουργίες σύνδεσης και επισύναψης. Αυτή η ενημέρωση συνέπεσε με την ενσωμάτωση της τεχνολογίας WebSocket στις σελίδες phishing τους, ενισχύοντας την επικοινωνία από το πρόγραμμα περιήγησης σε διακομιστή για πιο αποτελεσματική μετάδοση δεδομένων στους διακομιστές των ηθοποιών.
Μέχρι τον Φεβρουάριο του 2024, η ομάδα Tycoon παρουσίασε μια νέα δυνατότητα που στοχεύει τους χρήστες του Gmail, επιτρέποντας την παράκαμψη του ελέγχου ταυτότητας δύο παραγόντων. Αυτή η έκδοση περιλαμβάνει μια σελίδα σύνδεσης «Εμφάνιση» του Gmail και Google Captcha, διευρύνοντας το πιθανό κοινό-στόχο του πέρα από τους χρήστες του Microsoft 365.
Σε μια πιο πρόσφατη ενημέρωση, η ομάδα εισήγαγε υποστήριξη για τους συνδρομητές για τη συλλογή cookies Active Directory Federation Services (ADFS), στοχεύοντας συγκεκριμένα τους μηχανισμούς ελέγχου ταυτότητας οργανισμών που χρησιμοποιούν το ADFS.
Πίνακας περιεχομένων
The Tycoon Phishing Kit Infection Chain
Η ακολουθία της αλυσίδας επίθεσης ξεκινά με μια τυπική καμπάνια ηλεκτρονικού ψαρέματος που εκμεταλλεύεται αξιόπιστους τομείς και υπηρεσίες που βασίζονται σε σύννεφο για να αποκρύψει την πραγματική διεύθυνση URL προορισμού της κύριας σελίδας προορισμού ηλεκτρονικού ψαρέματος. Αυτή η στρατηγική συνεπάγεται τη μόχλευση αξιόπιστων διαδικτυακών υπηρεσιών αλληλογραφίας και μάρκετινγκ, ενημερωτικών δελτίων ή πλατφορμών κοινής χρήσης εγγράφων ως ανακατευθυντήριων διευθύνσεων URL ή κεντρικών υπολογιστών για έγγραφα παραπλάνησης που περιέχουν συνδέσμους προς την τελική σελίδα phishing.
Η ανακατεύθυνση πραγματοποιείται όταν κάνετε κλικ σε έναν σύνδεσμο στο μήνυμα ηλεκτρονικού ταχυδρομείου, που οδηγεί είτε σε ένα παραπλανητικό έγγραφο με σύνδεσμο προς την κύρια σελίδα ηλεκτρονικού "ψαρέματος" ή απευθείας στην κύρια σελίδα προορισμού ηλεκτρονικού "ψαρέματος" που διευκολύνεται από ένα πρόγραμμα ανακατεύθυνσης.
Η κύρια σελίδα προορισμού phishing περιλαμβάνει δύο κύρια στοιχεία: ένα σενάριο PHP «index.php» που είναι υπεύθυνο για τη φόρτωση του δευτερεύοντος στοιχείου του, ένα αρχείο «.JS» με πρόθεμα «myscr». Ο ρόλος του τελευταίου στοιχείου είναι να δημιουργεί τον κώδικα HTML για τη σελίδα phishing.
Η καμπάνια ψαρέματος Tycoon ελέγχει εάν τα θύματα δεν είναι ρομπότ
Το δεύτερο σενάριο συνιστωσών χρησιμοποιεί διάφορες τεχνικές συσκότισης για να ξεφύγει από ανιχνευτές ρομπότ και μηχανές antispam. Μια τέτοια μέθοδος συνεπάγεται μια μεγάλη σειρά χαρακτήρων που αντιπροσωπεύονται ως δεκαδικοί ακέραιοι αριθμοί. Κάθε ακέραιος υφίσταται μετατροπή σε χαρακτήρες και στη συνέχεια συνενώνεται για να σχηματίσει τον πηγαίο κώδικα HTML της σελίδας phishing. Επιπλέον, το σενάριο χρησιμοποιεί μια τεχνική συσκότισης γνωστή ως «αδιαφανές κατηγόρημα», εισάγοντας περιττό κώδικα στη ροή του προγράμματος για να κρύψει την υποκείμενη λογική του σεναρίου.
Αρχικά, το JavaScript πραγματοποιεί προφιλτράρισμα χρησιμοποιώντας την υπηρεσία CloudFlare Turnstile για να επαληθεύσει ότι ο σύνδεσμος είναι προσβάσιμος από άνθρωπο, διακρίνοντάς τον από αυτοματοποιημένα προγράμματα ανίχνευσης ρομπότ. Οι χρήστες αυτού του Phishing-as-a-Service (PaaS) μπορούν να ενεργοποιήσουν αυτήν τη δυνατότητα στον πίνακα διαχείρισης και να παρέχουν κλειδιά CloudFlare που σχετίζονται με τους λογαριασμούς τους. Αυτή η ενσωμάτωση παρέχει επίσης πρόσθετες μετρήσεις για τον phisher μέσω του πίνακα ελέγχου του CloudFlare.
Μετά την επιτυχή επαλήθευση, το JavaScript φορτώνει μια πλαστά σελίδα σύνδεσης προσαρμοσμένη στο θέμα phishing που έχει επιλέξει ο συνδρομητής. Για παράδειγμα, μπορεί να μιμείται μια σελίδα σύνδεσης του Microsoft 365.
Η Tycoon παρέχει στους πελάτες της έναν έλεγχο πίνακα οργάνων
Το Tycoon Group PaaS προσφέρει έναν πίνακα διαχείρισης προσβάσιμο σε συνδρομητές ή ενοικιαστές, παρέχοντάς τους τη δυνατότητα να συνδέονται, να δημιουργούν και να παρακολουθούν καμπάνιες, καθώς και να επιβλέπουν τα διαπιστευτήρια phish.
Οι χρήστες ενδέχεται να έχουν πρόσβαση στον πίνακα για μια καθορισμένη περίοδο, ανάλογα με το επίπεδο συνδρομής τους. Τα άτομα μπορούν να ξεκινήσουν νέες καμπάνιες στην ενότητα ρυθμίσεων, επιλέγοντας το προτιμώμενο θέμα phishing και προσαρμόζοντας διάφορες λειτουργίες PaaS. Επιπλέον, οι συνδρομητές μπορούν να επιβλέπουν τα διαπιστευτήρια ηλεκτρονικού ψαρέματος, που περιλαμβάνουν ονόματα χρήστη, κωδικούς πρόσβασης και cookies περιόδου σύνδεσης. Επιπλέον, η υπηρεσία επιτρέπει στους συνδρομητές να διαβιβάζουν τα αποτελέσματα phishing στους λογαριασμούς τους στο Telegram.
Οι επιθέσεις phishing γίνονται πιο εύκολες στην εκτέλεση μέσω κιτ ηλεκτρονικού ψαρέματος όπως το Tycoon
Η εμφάνιση του μοντέλου Phishing-as-a-Service, όπως το παράδειγμα οντοτήτων όπως το Tycoon Group, έχει μειώσει σημαντικά το εμπόδιο εισόδου για την εκτέλεση εξελιγμένων επιθέσεων phishing, ακόμη και για λιγότερο έμπειρους εγκληματίες. Αυτή η προσβασιμότητα είναι εμφανής στο κύμα επιθέσεων phishing που χρησιμοποιούν τέτοιες υπηρεσίες, όπως σημειώνουν οι ερευνητές. Αυτό που ξεχωρίζει το Tycoon Group είναι η ενσωμάτωσή του της τεχνολογίας WebSocket στη σελίδα phishing, επιτρέποντας την ομαλή μετάδοση δεδομένων μεταξύ του προγράμματος περιήγησης και του διακομιστή του εισβολέα. Επιπλέον, αυτή η δυνατότητα απλοποιεί τη διαχείριση καμπάνιας και την επίβλεψη των διαπιστευτηρίων phish για εγγεγραμμένους ηθοποιούς.
