Tycoon Phishing Kit
A Tycoon 2FA, egy új adathalász készlet megjelenése jelentős aggodalmakat váltott ki a kiberbiztonsági közösségben. A Tycoon Group Phishing-as-a-Service (PaaS) részeként kerül forgalomba a Telegramon, és már 120 dollárért elérhető. Főbb jellemzői közé tartozik a Microsoft kéttényezős hitelesítésének megkerülése, a legfelső szintű kapcsolati sebesség elérése, valamint a Cloudflare felhasználása az antibot-intézkedések megkerülésére, ezáltal biztosítva az észleletlen adathalász hivatkozások fennmaradását.
2023. október közepén frissítették az adathalász készletet, és a kiberbűnözők gördülékenyebb kapcsolódási és csatolási műveleteket ígértek. Ez a frissítés egybeesett a WebSocket technológia adathalász oldalaikba való integrálásával, javítva a böngészők közötti kommunikációt a hatékonyabb adatátvitel érdekében a szereplők szerverei felé.
2024 februárjára a Tycoon Group új, a Gmail-felhasználókat célzó funkciót vezetett be, amely lehetővé teszi a kéttényezős hitelesítés megkerülését. Ez a kiadás tartalmaz egy Gmail „Display” bejelentkezési oldalt és a Google Captchát, amely kiterjeszti potenciális célközönségét a Microsoft 365 felhasználókon túlra.
Egy újabb frissítésben a csoport bevezette az előfizetők támogatását az Active Directory Federation Services (ADFS) cookie-k gyűjtéséhez, kifejezetten a szervezetek ADFS-t használó hitelesítési mechanizmusait célozva meg.
Tartalomjegyzék
A Tycoon adathalász készlet fertőzési lánca
A támadási lánc sorozata egy szabványos adathalász kampánnyal kezdődik, amely a megbízható domaineket és a felhőalapú szolgáltatásokat használja ki az adathalász fő céloldal valódi cél URL-jének elfedésére. Ez a stratégia magában foglalja a jó hírű online levelező- és marketingszolgáltatásokat, hírleveleket vagy dokumentummegosztó platformokat URL-átirányítóként vagy tárhelyként a végső adathalász oldalra mutató hivatkozásokat tartalmazó csali dokumentumokhoz.
Az átirányítás az e-mailben található linkre kattintva történik, amely vagy az elsődleges adathalász oldalra mutató hivatkozást tartalmazó csalidokumentumhoz vezet, vagy közvetlenül a fő adathalász céloldalra, amelyet egy átirányító segít.
A fő adathalász céloldal két elsődleges összetevőből áll: egy „index.php” PHP-szkriptből, amely a másodlagos összetevőjének betöltéséért felelős, egy „.JS” fájlból, amelynek előtagja a „myscr”. Ez utóbbi komponens feladata az adathalász oldal HTML-kódjának generálása.
A Tycoon adathalász kampány ellenőrzi, hogy az áldozatok nem botok-e
A második komponens szkript különféle elhomályosítási technikákat alkalmaz a botrobotok és a levélszemét-elhárító motorok elkerülésére. Az egyik ilyen módszer egy hosszú, decimális egész számként ábrázolt karaktertömböt foglal magában. Minden egész szám karakterekké alakul, majd összefűzve alkotja az adathalász oldal HTML-forráskódját. Ezenkívül a szkript egy „átlátszatlan predikátumként” ismert elfedési technikát alkalmaz, amely redundáns kódot vezet be a programfolyamatba, hogy elfedje a szkript mögöttes logikáját.
Kezdetben a JavaScript a CloudFlare Turnstile szolgáltatással előszűrést végez annak ellenőrzésére, hogy a hivatkozáshoz ember fér hozzá, megkülönböztetve azt az automatizált robotrobotoktól. Az adathalászat szolgáltatásként (PaaS) felhasználói az adminisztrációs panelen aktiválhatják ezt a funkciót, és megadhatják a fiókjukhoz társított CloudFlare-kulcsokat. Ez az integráció további mérőszámokat is biztosít az adathalász számára a CloudFlare irányítópulton keresztül.
Sikeres ellenőrzés után a JavaScript betölt egy hamisított bejelentkezési oldalt, amely az előfizető által választott adathalász témához igazodik. Például utánozhat egy Microsoft 365 bejelentkezési oldalt.
A Tycoon irányítópult-vezérlőt biztosít ügyfelei számára
A Tycoon Group PaaS az előfizetők vagy bérlők számára elérhető adminisztrációs panelt kínál, amely lehetővé teszi számukra a bejelentkezéshez, kampányok létrehozásához és figyeléséhez, valamint az adathalász hitelesítő adatok felügyeletéhez.
A felhasználók az előfizetési szinttől függően meghatározott ideig férhetnek hozzá a panelhez. Az egyének új kampányokat kezdeményezhetnek a beállítások részben, kiválasztva a kívánt adathalász témát, és módosítva a különböző PaaS-funkciókat. Ezenkívül az előfizetők felügyelhetik az adathalász hitelesítő adatokat, beleértve a felhasználóneveket, jelszavakat és a munkamenet cookie-kat. Ezenkívül a szolgáltatás lehetővé teszi az előfizetők számára, hogy az adathalász eredményeket továbbítsák a Telegram-fiókjukba.
Egyre könnyebben végrehajthatók az adathalász támadások olyan adathalász készletekkel, mint a Tycoon
Az adathalászat mint szolgáltatás modell megjelenése, amelyet olyan entitások példáznak, mint a Tycoon Group, jelentősen csökkentette a belépési korlátot a kifinomult adathalász támadások végrehajtása előtt, még a kevésbé tapasztalt bűnözők számára is. Ez a hozzáférhetőség nyilvánvaló az ilyen szolgáltatásokat használó adathalász támadások rohamosan, amint azt a kutatók megjegyezték. A Tycoon csoportot az különbözteti meg egymástól, hogy beépítette a WebSocket technológiát az adathalász oldalba, ami gördülékenyebb adatátvitelt tesz lehetővé a böngésző és a támadó szervere között. Ezenkívül ez a funkció leegyszerűsíti a kampánykezelést és az adathalász hitelesítő adatok felügyeletét a feliratkozott szereplők számára.
