Tycoon Phishing Kit
הופעתה של Tycoon 2FA, ערכת דיוג חדשה, עוררה חששות משמעותיים בקהילת אבטחת הסייבר. משווק כחלק מה-Pishing-as-a-Service (PaaS) של קבוצת Tycoon ב-Telegram, הוא זמין במחיר של 120$ בלבד. בין המאפיינים המרכזיים שלו ניתן למנות את היכולות לעקוף אימות דו-גורמי של מיקרוסופט, להשיג מהירות קישור ברמה העליונה ולנצל את Cloudflare כדי לעקוף אמצעי אנטי-בוט, ובכך להבטיח את התמשכותם של קישורי דיוג שלא זוהו.
באמצע אוקטובר 2023, ערכת הדיוג עודכנה, כאשר פושעי סייבר הבטיחו פעולות קישור והצמדות חלקות יותר. עדכון זה עלה בקנה אחד עם שילוב טכנולוגיית WebSocket בדפי התחזות שלהם, תוך שיפור התקשורת בין דפדפן לשרת להעברת נתונים יעילה יותר לשרתי השחקנים.
עד פברואר 2024, קבוצת Tycoon הציגה תכונה חדשה המכוונת למשתמשי Gmail, המאפשרת לעקוף אימות דו-גורמי. מהדורה זו כוללת דף התחברות 'תצוגה' של Gmail ו-Google Captcha, המרחיבה את קהל היעד הפוטנציאלי שלו מעבר למשתמשי Microsoft 365.
בעדכון אחרון יותר, הקבוצה הציגה תמיכה למנויים לאיסוף קובצי Cookie של Active Directory Federation Services (ADFS), המכוונות במיוחד למנגנוני האימות של ארגונים המשתמשים ב-ADFS.
תוכן העניינים
שרשרת ההדבקה של ערכת הדיוג של Tycoon
רצף שרשרת ההתקפה מתחיל במסע פרסום דיוג סטנדרטי המנצל דומיינים מהימנים ושירותים מבוססי ענן כדי לטשטש את כתובת אתר היעד האמיתית של דף הנחיתה הראשי של הדיוג. אסטרטגיה זו כרוכה במינוף שירותי דיוור ושיווק מקוונים, ניוזלטרים או פלטפורמות לשיתוף מסמכים, כמפנים או מארחים של כתובות אתרים עבור מסמכי פיתוי המכילים קישורים לדף הדיוג הסופי.
ההפניה מחדש מתרחשת בלחיצה על קישור בהודעת הדוא"ל, ומובילה למסמך הטעיה עם קישור לדף הדיוג הראשי או ישירות לדף הנחיתה הראשי של הדיוג בהנחיית מפנה מחדש.
דף הנחיתה הראשי של פישינג מורכב משני מרכיבים עיקריים: סקריפט PHP 'index.php' האחראי לטעינת הרכיב המשני שלו, קובץ '.JS' עם הקידומת 'myscr'. תפקידו של הרכיב האחרון הוא ליצור את קוד ה-HTML עבור דף ההתחזות.
קמפיין הדיוג של טייקון בודק אם הקורבנות אינם בוטים
סקריפט הרכיב השני משתמש בטכניקות ערפול שונות כדי לחמוק מסורקי בוטים וממנועי אנטי ספאם. שיטה אחת כזו כוללת מערך ארוך של תווים המיוצגים כמספרים שלמים עשרוניים. כל מספר שלם עובר המרה לתווים ולאחר מכן משורשר ליצירת קוד מקור ה-HTML של דף ההתחזות. בנוסף, התסריט משתמש בטכניקת ערפול המכונה 'פרדיקט אטום', ומכניס קוד מיותר לזרימת התוכנית כדי לטשטש את ההיגיון הבסיסי של הסקריפט.
בתחילה, ה-JavaScript מבצע סינון מקדים באמצעות שירות CloudFlare Turnstile כדי לוודא שהקישור נגיש על ידי אדם, מה שמבדיל אותו מסורקי בוטים אוטומטיים. משתמשים ב-Pishing-as-a-Service (PaaS) זה יכולים להפעיל תכונה זו בפאנל הניהול ולספק מפתחות CloudFlare המשויכים לחשבונות שלהם. אינטגרציה זו גם מספקת מדדים נוספים עבור הדיוג באמצעות לוח המחוונים של CloudFlare.
לאחר אימות מוצלח, ה-JavaScript טוען דף כניסה מזויף המותאם לנושא ההתחזות שנבחר על ידי המנוי. לדוגמה, זה עשוי לחקות דף התחברות של Microsoft 365.
Tycoon מספקת ללקוחותיה בקרת לוח מחוונים
Tycoon Group PaaS מציעה פאנל ניהול נגיש למנויים או לשוכרים, ומעניק להם את היכולת להיכנס, ליצור ולנטר קמפיינים, כמו גם לפקח על אישורי דיוג.
ייתכן שלמשתמשים תהיה גישה לפאנל לתקופה מוגדרת, בהתאם לרמת המנוי שלהם. אנשים יכולים ליזום קמפיינים חדשים בסעיף ההגדרות, לבחור את נושא ההתחזות המועדף ולהתאים תכונות PaaS שונות. בנוסף, מנויים יכולים לפקח על אישורי התחזות, הכוללים שמות משתמש, סיסמאות וקובצי Cookie של הפעלה. יתר על כן, השירות מאפשר למנויים להעביר תוצאות דיוג לחשבונות הטלגרם שלהם.
התקפות דיוג הופכות קלות יותר לביצוע באמצעות ערכות דיוג כמו טייקון
הופעתו של מודל ה-Pishing-as-a-Service, המודגם על ידי גופים כמו קבוצת Tycoon, הורידה משמעותית את מחסום הכניסה לביצוע התקפות דיוג מתוחכמות, אפילו עבור פושעים פחות מנוסים. נגישות זו ניכרת בגל של התקפות דיוג תוך שימוש בשירותים כאלה, כפי שציינו חוקרים. מה שמייחד את קבוצת Tycoon הוא השילוב שלה של טכנולוגיית WebSocket בדף ההתחזות, המאפשר העברת נתונים חלקה יותר בין הדפדפן לשרת התוקף. יתר על כן, תכונה זו מפשטת את ניהול הקמפיינים והפיקוח על אישורי התחזות עבור שחקנים רשומים.
