Tycoon Phishing Kit
Uue andmepüügikomplekti Tycoon 2FA ilmumine on tekitanud küberturvalisuse kogukonnas olulisi muresid. Seda turustatakse Telegramis Tycoon Groupi andmepüügi-as-a-Service (PaaS) osana ja see on saadaval kõigest 120 dollari eest. Selle põhifunktsioonide hulgas on võimalus Microsofti kahefaktorilisest autentimisest mööda minna, saavutada tipptasemel lingikiirus ja kasutada Cloudflare'i antibotimeetmetest kõrvalehoidmiseks, tagades seeläbi avastamata andmepüügilinkide püsimise.
2023. aasta oktoobri keskel värskendati andmepüügikomplekti, kus küberkurjategijad lubasid sujuvamaid linkimis- ja manustamistoiminguid. See värskendus langes kokku WebSocketi tehnoloogia integreerimisega nende andmepüügilehtedele, täiustades brauseri ja serveri vahelist suhtlust tõhusamaks andmeedastuseks näitlejate serveritesse.
2024. aasta veebruariks tutvustas Tycoon Group uut Gmaili kasutajatele suunatud funktsiooni, mis võimaldab kahefaktorilisest autentimisest mööda minna. See väljalase sisaldab Gmaili sisselogimislehte Display ja Google Captcha, mis laiendab selle potentsiaalset sihtrühma Microsoft 365 kasutajatest kaugemale.
Värskemas värskenduses tutvustas rühm tellijatele tuge Active Directory liitteenuste (ADFS) küpsiste kogumiseks, sihites konkreetselt organisatsioonide ADFS-i kasutavaid autentimismehhanisme.
Sisukord
Tycooni andmepüügikomplekti nakkusahel
Rünnakuahela jada algab standardse andmepüügikampaaniaga, mis kasutab ära usaldusväärseid domeene ja pilvepõhiseid teenuseid, et varjata andmepüügi peamise sihtlehe tegelik sihtkoha URL. See strateegia hõlmab mainekate onlain-postitus- ja turundusteenuste, uudiskirjade või dokumentide jagamise platvormide kasutamist URL-ide ümbersuunajate või peibutusdokumentide hostidena, mis sisaldavad linke viimasele andmepüügilehele.
Ümbersuunamine toimub e-kirjas oleval lingil klõpsamisel, mis viib kas peamise andmepüügilehe lingiga peibutusdokumendile või otse andmepüügi peamisele sihtlehele, mida hõlbustab ümbersuunaja.
Peamine andmepüügi sihtleht koosneb kahest peamisest komponendist: PHP-skript "index.php", mis vastutab teise komponendi laadimise eest, .JS-fail, mille eesliite on "myscr". Viimase komponendi roll on andmepüügilehe HTML-koodi genereerimine.
Tycooni andmepüügikampaania kontrollib, kas ohvrid pole robotid
Teise komponendi skript kasutab roboti roomajate ja rämpspostitõrjemootorite vältimiseks erinevaid hägustamise tehnikaid. Üks selline meetod hõlmab pikka märkide massiivi, mis on esitatud kümnendtäisarvudena. Iga täisarv teisendatakse tähemärkideks ja seejärel ühendatakse andmepüügilehe HTML-i lähtekoodiks. Lisaks kasutab skript hägustamistehnikat, mida tuntakse läbipaistmatu predikaadina, lisades programmivoogu üleliigse koodi, et varjata skripti aluseks olevat loogikat.
Algselt viib JavaScript läbi eelfiltrimise, kasutades teenust CloudFlare Turnstile, et kontrollida, kas lingile pääseb juurde inimene, eristades seda automaatsetest robotiroomajatest. Selle andmepüügi teenusena (PaaS) kasutajad saavad selle funktsiooni aktiveerida administraatoripaneelil ja pakkuda oma kontodega seotud CloudFlare'i võtmeid. See integratsioon pakub andmepüüdjale ka täiendavaid mõõdikuid CloudFlare'i armatuurlaua kaudu.
Pärast edukat kinnitamist laadib JavaScript võltsitud sisselogimislehe, mis on kohandatud abonendi valitud andmepüügiteemaga. Näiteks võib see jäljendada Microsoft 365 sisselogimislehte.
Tycoon pakub oma klientidele armatuurlaua juhtimisseadet
Tycoon Group PaaS pakub tellijatele või rentijatele juurdepääsetavat administraatoripaneeli, mis annab neile võimaluse sisse logida, kampaaniaid luua ja jälgida, samuti jälgida andmepüügi mandaate.
Kasutajatel võib olenevalt nende liitumistasemest olla juurdepääs paneelile teatud aja jooksul. Üksikisikud saavad seadistuste jaotises uusi kampaaniaid algatada, valides eelistatud andmepüügiteema ja kohandades erinevaid PaaS-i funktsioone. Lisaks saavad abonendid jälgida andmepüügi mandaate, sealhulgas kasutajanimesid, paroole ja seansiküpsiseid. Lisaks võimaldab teenus tellijatel andmepüügitulemusi oma Telegrami kontodele edastada.
Andmepüügirünnakuid on lihtsam sooritada andmepüügikomplektide kaudu nagu Tycoon
Andmepüügi kui teenuse mudeli esilekerkimine, mille näideteks on sellised üksused nagu Tycoon Group, on märkimisväärselt alandanud keeruliste andmepüügirünnakute sooritamise barjääri isegi vähem kogenud kurjategijate jaoks. See juurdepääsetavus ilmneb selliseid teenuseid kasutavate andmepüügirünnakute arvukuses, nagu märkisid teadlased. Tycoon Groupi eristab see, et ta lisab andmepüügilehele WebSocketi tehnoloogia, mis võimaldab sujuvamat andmeedastust brauseri ja ründaja serveri vahel. Lisaks lihtsustab see funktsioon tellitud näitlejate jaoks kampaaniahaldust ja andmepüügimandaatide järelevalvet.
