Tycoon Phishing Kit
Tycoon 2FA:n, uuden tietojenkalastelupaketin, ilmestyminen on herättänyt merkittäviä huolenaiheita kyberturvallisuusyhteisössä. Sitä markkinoidaan osana Tycoon Groupin Phishing-as-a-Service (PaaS) -palvelua Telegramissa, ja se on saatavana vain 120 dollarilla. Yksi sen tärkeimmistä ominaisuuksista on kyky ohittaa Microsoftin kaksivaiheinen todennus, saavuttaa huipputason linkin nopeus ja käyttää Cloudflarea antibottitoimenpiteiden kiertämiseen, mikä varmistaa havaitsemattomien tietojenkalastelulinkkien pysyvyyden.
Lokakuun puolivälissä 2023 tietojenkalastelupaketti päivitettiin, ja verkkorikolliset lupasivat sujuvampia linkki- ja liitetoimintoja. Tämä päivitys osui samaan aikaan WebSocket-tekniikan integroinnin kanssa heidän tietojenkalastelusivuilleen, mikä tehosti selaimen välistä viestintää tehostaen tiedonsiirtoa toimijoiden palvelimille.
Helmikuussa 2024 Tycoon Group esitteli uuden Gmail-käyttäjiin kohdistetun ominaisuuden, joka mahdollistaa kaksivaiheisen todennuksen ohituksen. Tämä julkaisu sisältää Gmailin Display-kirjautumissivun ja Google Captchan, mikä laajentaa sen potentiaalisen kohdeyleisön Microsoft 365 -käyttäjien ulkopuolelle.
Uudemmassa päivityksessä ryhmä otti käyttöön tuen tilaajille Active Directory Federation Services (ADFS) -evästeiden keräämiseen, erityisesti organisaatioiden ADFS:ää hyödyntäviin todennusmekanismeihin.
Sisällysluettelo
Tycoon Phishing Kit -tartuntaketju
Hyökkäysketju alkaa tavallisella tietojenkalastelukampanjalla, joka hyödyntää luotettavia verkkotunnuksia ja pilvipohjaisia palveluita peittääkseen pääasiallisen tietojenkalastelualoitussivun todellisen kohde-URL-osoitteen. Tämä strategia edellyttää hyvämaineisten online-postitus- ja markkinointipalvelujen, uutiskirjeiden tai asiakirjojen jakamisalustojen hyödyntämistä URL-osoitteiden uudelleenohjaajina tai isäntänä sellaisille houkutusasiakirjoille, jotka sisältävät linkkejä lopulliselle tietojenkalastelusivulle.
Uudelleenohjaus tapahtuu, kun napsautetaan sähköpostissa olevaa linkkiä, mikä johtaa joko houkutusasiakirjaan, jossa on linkki ensisijaiselle tietojenkalastelusivulle, tai suoraan uudelleenohjauksen mahdollistamalle pääaloitussivulle.
Tietojenkalastelun pääaloitussivu sisältää kaksi pääkomponenttia: PHP-skriptin index.php, joka vastaa sen toissijaisen komponentin lataamisesta, .JS-tiedostosta, jonka etuliitteenä on myscr. Jälkimmäisen komponentin tehtävänä on luoda HTML-koodi tietojenkalastelusivulle.
Tycoon Phishing -kampanja tarkistaa, eivätkö uhrit ole botteja
Toisen komponentin skripti käyttää erilaisia hämärätekniikoita robottien ja roskapostin torjuntaohjelmien välttämiseksi. Yksi tällainen menetelmä sisältää pitkän joukon merkkejä, jotka esitetään desimaalilukuina. Jokainen kokonaisluku muunnetaan merkeiksi ja ketjutetaan sitten tietojenkalastelusivun HTML-lähdekoodiksi. Lisäksi komentosarja käyttää hämärtymistekniikkaa, joka tunnetaan nimellä "läpinäkymätön predikaatti", joka lisää ohjelmakulkuun redundanttia koodia peittämään komentosarjan taustalla olevan logiikan.
Aluksi JavaScript suorittaa esisuodatuksen CloudFlare Turnstile -palvelun avulla varmistaakseen, että linkki on ihmisen käytössä, mikä erottaa sen automatisoiduista robotti-indeksoijista. Tämän Phishing-as-a-Servicen (PaaS) käyttäjät voivat aktivoida tämän ominaisuuden hallintapaneelissa ja tarjota tileihinsä liittyvät CloudFlare-avaimet. Tämä integrointi tarjoaa myös lisämittareita tietojenkalastelulle CloudFlare-hallintapaneelin kautta.
Onnistuneen vahvistuksen jälkeen JavaScript lataa väärennetyn kirjautumissivun, joka on räätälöity tilaajan valitseman tietojenkalasteluteeman mukaan. Se voi esimerkiksi jäljitellä Microsoft 365 -kirjautumissivua.
Tycoon tarjoaa asiakkailleen kojelautaohjaimen
Tycoon Group PaaS tarjoaa tilaajien tai vuokraajien käytettävissä olevan hallintapaneelin, joka antaa heille mahdollisuuden kirjautua sisään, luoda ja seurata kampanjoita sekä valvoa kalastelutietoja.
Käyttäjillä voi olla pääsy paneeliin tietyn ajan tilaustasosta riippuen. Yksityishenkilöt voivat aloittaa uusia kampanjoita asetusosiossa, valitsemalla ensisijaisen tietojenkalasteluteeman ja säätämällä erilaisia PaaS-ominaisuuksia. Lisäksi tilaajat voivat valvoa tietojenkalastelutietoja, mukaan lukien käyttäjätunnukset, salasanat ja istuntoevästeet. Lisäksi palvelun avulla tilaajat voivat välittää tietojenkalastelutuloksia Telegram-tileilleen.
Tietojenkalasteluhyökkäyksiä on helpompi toteuttaa Tycoonin kaltaisten tietojenkalastelupakettien avulla
Phishing-as-a-Service -mallin syntyminen, josta esimerkkinä ovat Tycoon Groupin kaltaiset tahot, on merkittävästi alentanut edistyneiden tietojenkalasteluhyökkäysten toteuttamisen esteitä jopa vähemmän kokeneiden rikollisten osalta. Tämä saavutettavuus näkyy tutkijoiden toteamusten mukaan tällaisia palveluita hyödyntävien tietojenkalasteluhyökkäysten lisääntyessä. Tycoon Groupin erottaa sen WebSocket-tekniikan sisällyttäminen tietojenkalastelusivulle, mikä mahdollistaa sujuvamman tiedonsiirron selaimen ja hyökkääjän palvelimen välillä. Lisäksi tämä ominaisuus yksinkertaistaa tilattujen toimijoiden kampanjan hallintaa ja tietojenkalastelutietojen valvontaa.
