Tycoon Phishing Kit

ظهور Tycoon 2FA، یک کیت فیشینگ جدید، نگرانی های قابل توجهی را در جامعه امنیت سایبری ایجاد کرده است. به عنوان بخشی از سرویس فیشینگ به عنوان یک سرویس (PaaS) گروه Tycoon در تلگرام به فروش می رسد و با قیمتی کمتر از 120 دلار در دسترس است. از جمله ویژگی‌های کلیدی آن می‌توان به قابلیت دور زدن احراز هویت دو مرحله‌ای مایکروسافت، دستیابی به سرعت لینک در سطح بالا و استفاده از Cloudflare برای دور زدن اقدامات آنتی‌ربات‌ها، در نتیجه تضمین تداوم پیوندهای فیشینگ شناسایی نشده، اشاره کرد.

در اواسط اکتبر 2023، کیت فیشینگ به‌روزرسانی شد و مجرمان سایبری قول عملیات پیوند و پیوست‌های نرم‌تر را دادند. این به روز رسانی همزمان با ادغام فناوری WebSocket در صفحات فیشینگ آنها، بهبود ارتباطات مرورگر به سرور برای انتقال کارآمدتر داده ها به سرورهای بازیگران بود.

تا فوریه 2024، گروه Tycoon یک ویژگی جدید را معرفی کرد که کاربران جیمیل را هدف قرار می دهد و امکان دور زدن احراز هویت دو مرحله ای را فراهم می کند. این نسخه شامل یک صفحه ورود به سیستم Gmail 'Display' و Google Captcha است که مخاطبان هدف بالقوه خود را فراتر از کاربران مایکروسافت 365 گسترش می دهد.

در یک به روز رسانی جدیدتر، این گروه پشتیبانی از مشترکین را برای جمع آوری کوکی های Active Directory Federation Services (ADFS)، به طور خاص هدف قرار دادن مکانیسم های احراز هویت سازمان ها با استفاده از ADFS معرفی کرد.

زنجیره عفونت Tycoon Phishing Kit

توالی زنجیره حمله با یک کمپین فیشینگ استاندارد شروع می شود که از دامنه های قابل اعتماد و سرویس های مبتنی بر ابر برای پنهان کردن URL مقصد واقعی صفحه اصلی فیشینگ استفاده می کند. این استراتژی مستلزم استفاده از سرویس‌های پست الکترونیکی معتبر و بازاریابی، خبرنامه‌ها یا پلت‌فرم‌های اشتراک‌گذاری اسناد به‌عنوان هدایت‌کننده URL یا میزبان برای اسناد فریبنده حاوی پیوندهایی به صفحه نهایی فیشینگ است.

هدایت مجدد با کلیک کردن روی یک پیوند در ایمیل انجام می شود، که یا به یک سند فریبنده با پیوند به صفحه اصلی فیشینگ یا مستقیماً به صفحه اصلی فیشینگ که توسط یک redirector تسهیل می شود، می رسد.

صفحه اصلی فیشینگ شامل دو جزء اصلی است: یک اسکریپت PHP «index.php» که مسئول بارگیری مؤلفه ثانویه آن است، یک فایل «.JS» با پیشوند «myscr». نقش مؤلفه دوم تولید کد HTML برای صفحه فیشینگ است.

کمپین فیشینگ Tycoon بررسی می کند که آیا قربانیان ربات نیستند

اسکریپت جزء دوم از تکنیک های مبهم سازی مختلف برای فرار از خزنده های ربات و موتورهای ضد اسپم استفاده می کند. یکی از این روش ها مستلزم یک آرایه طولانی از کاراکترها است که به صورت اعداد صحیح اعشاری نشان داده می شوند. هر عدد صحیح به کاراکتر تبدیل می شود و سپس برای تشکیل کد منبع HTML صفحه فیشینگ به هم متصل می شود. بعلاوه، این اسکریپت از یک تکنیک مبهم سازی به نام "گزاره مات" استفاده می کند که کد اضافی را به جریان برنامه وارد می کند تا منطق زیربنایی اسکریپت را مبهم کند.

در ابتدا، جاوا اسکریپت با استفاده از سرویس CloudFlare Turnstile، پیش فیلترینگ را انجام می دهد تا تأیید کند که پیوند توسط یک انسان قابل دسترسی است و آن را از خزنده های ربات خودکار متمایز می کند. کاربران این فیشینگ به عنوان سرویس (PaaS) می توانند این ویژگی را در پنل مدیریت فعال کرده و کلیدهای CloudFlare مرتبط با حساب های خود را ارائه دهند. این ادغام همچنین معیارهای بیشتری را از طریق داشبورد CloudFlare برای فیشر فراهم می کند.

پس از تأیید موفقیت آمیز، جاوا اسکریپت یک صفحه ورود به سیستم تقلبی متناسب با موضوع فیشینگ انتخاب شده توسط مشترک را بارگیری می کند. به عنوان مثال، ممکن است یک صفحه ورود به سیستم مایکروسافت 365 را تقلید کند.

Tycoon یک کنترل داشبورد را در اختیار مشتریان خود قرار می دهد

گروه Tycoon PaaS یک پنل مدیریتی را ارائه می دهد که برای مشترکین یا اجاره کنندگان قابل دسترسی است و به آنها امکان ورود، ایجاد و نظارت بر کمپین ها و همچنین نظارت بر اعتبارنامه های فیش شده را می دهد.

کاربران ممکن است بسته به سطح اشتراک خود برای مدت زمان مشخصی به پانل دسترسی داشته باشند. افراد می توانند کمپین های جدیدی را در بخش تنظیمات راه اندازی کنند، موضوع فیشینگ ترجیحی را انتخاب کنند و ویژگی های مختلف PaaS را تنظیم کنند. علاوه بر این، مشترکین می توانند بر اعتبارنامه های فیش شده، شامل نام کاربری، رمز عبور و کوکی های جلسه نظارت کنند. علاوه بر این، این سرویس به مشترکین اجازه می‌دهد تا نتایج فیشینگ را به حساب‌های تلگرام خود ارسال کنند.

اجرای حملات فیشینگ از طریق کیت های فیشینگ مانند Tycoon آسان تر می شود

ظهور مدل Phishing-as-a-Service، که نمونه آن نهادهایی مانند Tycoon Group است، به طور قابل توجهی مانع ورود برای اجرای حملات فیشینگ پیچیده را کاهش داده است، حتی برای مجرمان با تجربه کمتر. همانطور که محققان اشاره کردند، این دسترسی در افزایش حملات فیشینگ با استفاده از چنین خدماتی مشهود است. چیزی که گروه Tycoon را متمایز می کند، ادغام آن از فناوری WebSocket در صفحه فیشینگ است که انتقال داده ها را بین مرورگر و سرور مهاجم امکان پذیر می کند. علاوه بر این، این ویژگی مدیریت کمپین و نظارت بر اعتبارنامه های فیش شده را برای بازیگران مشترک ساده می کند.