Tycoon Phishing Kit
Pojava Tycoon 2FA, novog kompleta za krađu identiteta, izazvala je značajnu zabrinutost u zajednici koja se bavi kibernetičkom sigurnošću. Prodaje se kao dio Phishing-as-a-Service (PaaS) grupe Tycoon na Telegramu, a dostupan je za samo 120 USD. Među njegovim ključnim značajkama su mogućnosti zaobilaženja Microsoftove dvofaktorske autentifikacije, postizanje brzine povezivanja najviše razine i korištenje Cloudflarea za zaobilaženje antibotskih mjera, čime se osigurava postojanost neotkrivenih phishing veza.
Sredinom listopada 2023. komplet za krađu identiteta je ažuriran, a kiberkriminalci obećavaju glatkije operacije veza i privitaka. Ovo ažuriranje poklopilo se s integracijom tehnologije WebSocket u njihove phishing stranice, poboljšavajući komunikaciju između preglednika i poslužitelja za učinkovitiji prijenos podataka na poslužitelje aktera.
Do veljače 2024. Tycoon Group predstavila je novu značajku koja cilja korisnike Gmaila, omogućujući zaobilaženje dvofaktorske autentifikacije. Ovo izdanje uključuje stranicu za prijavu na Gmail 'Display' i Google Captcha, proširujući svoju potencijalnu ciljnu publiku izvan korisnika Microsoft 365.
U novijem ažuriranju, grupa je predstavila podršku pretplatnicima za prikupljanje kolačića Active Directory Federation Services (ADFS), posebno ciljajući na mehanizme provjere autentičnosti organizacija koji koriste ADFS.
Sadržaj
Lanac infekcije Tycoon Phishing Kit-a
Sekvenca lanca napada započinje standardnom phishing kampanjom koja iskorištava pouzdane domene i usluge temeljene na oblaku kako bi prikrila pravi odredišni URL glavne odredišne stranice za phishing. Ova strategija uključuje korištenje renomiranih mrežnih poštanskih i marketinških usluga, biltena ili platformi za dijeljenje dokumenata kao preusmjerivača URL-ova ili domaćina za lažne dokumente koji sadrže veze na konačnu stranicu za krađu identiteta.
Preusmjeravanje se događa nakon klika na poveznicu u e-poruci, što vodi ili do lažnog dokumenta s vezom na primarnu stranicu za krađu identiteta ili izravno na glavnu odredišnu stranicu za krađu identiteta koju omogućuje preusmjerivač.
Glavna odredišna stranica za krađu identiteta sastoji se od dvije primarne komponente: 'index.php' PHP skripte odgovorne za učitavanje svoje sekundarne komponente, datoteke '.JS' s prefiksom 'myscr'. Uloga potonje komponente je generiranje HTML koda za phishing stranicu.
Tycoon Phishing kampanja provjerava jesu li žrtve botovi
Skripta druge komponente koristi različite tehnike zamagljivanja kako bi izbjegla robote za indeksiranje i antispam mehanizme. Jedna takva metoda uključuje dugačak niz znakova predstavljenih kao decimalni cijeli brojevi. Svaki cijeli broj pretvara se u znakove i zatim se povezuje u izvorni HTML kod stranice za krađu identiteta. Dodatno, skripta koristi tehniku zamagljivanja poznatu kao 'neprozirni predikat', uvodeći redundantni kod u tijek programa kako bi zamaglio temeljnu logiku skripte.
U početku, JavaScript provodi predfiltriranje pomoću usluge CloudFlare Turnstile kako bi potvrdio da je poveznici pristupio čovjek, čime se razlikuje od automatiziranih robota za indeksiranje. Korisnici ovog Phishing-as-a-Service (PaaS) mogu aktivirati ovu značajku na administratorskoj ploči i pružiti CloudFlare ključeve povezane s njihovim računima. Ova integracija također pruža dodatne metrike za phisher putem CloudFlare nadzorne ploče.
Nakon uspješne provjere, JavaScript učitava krivotvorenu stranicu za prijavu prilagođenu temi krađe identiteta koju je odabrao pretplatnik. Na primjer, može oponašati Microsoft 365 stranicu za prijavu.
Tycoon svojim klijentima pruža kontrolu nadzorne ploče
Tycoon Group PaaS nudi administrativnu ploču kojoj mogu pristupiti pretplatnici ili iznajmljivači, dajući im mogućnost da se prijave, kreiraju i nadziru kampanje, kao i da nadziru phishing vjerodajnice.
Korisnici mogu imati pristup panelu određeno razdoblje, ovisno o njihovoj razini pretplate. Pojedinci mogu pokrenuti nove kampanje unutar odjeljka s postavkama, odabirom željene teme krađe identiteta i prilagođavanjem različitih PaaS značajki. Dodatno, pretplatnici mogu nadzirati phishing vjerodajnice, uključujući korisnička imena, lozinke i kolačiće sesije. Nadalje, usluga dopušta pretplatnicima prosljeđivanje rezultata krađe identiteta na njihove Telegram račune.
Phishing napade sve je lakše izvršiti putem kompleta za krađu identiteta poput Tycoona
Pojava modela Phishing-as-a-Service, čiji su primjeri entiteti poput Tycoon Group, značajno je smanjio prepreku ulasku za izvršavanje sofisticiranih phishing napada, čak i za manje iskusne kriminalce. Ova pristupačnost očita je u porastu phishing napada koji koriste takve usluge, kao što su primijetili istraživači. Ono što izdvaja Tycoon Group je ugradnja tehnologije WebSocket u stranicu za krađu identiteta, što omogućuje lakši prijenos podataka između preglednika i poslužitelja napadača. Štoviše, ova značajka pojednostavljuje upravljanje kampanjom i nadzor lažnih vjerodajnica za pretplaćene aktere.
