Tycoon Phishing Kit
새로운 피싱 키트인 Tycoon 2FA의 등장은 사이버 보안 커뮤니티 내에서 상당한 우려를 불러일으켰습니다. 텔레그램에서 Tycoon Group의 PaaS(Phishing-as-a-Service)의 일부로 판매되며 최저 120달러에 구입할 수 있습니다. 주요 기능 중에는 Microsoft 2단계 인증을 우회하고, 최고 수준의 링크 속도를 달성하고, Cloudflare를 활용하여 안티봇 조치를 우회하여 감지되지 않은 피싱 링크의 지속성을 보장하는 기능이 있습니다.
2023년 10월 중순, 사이버 범죄자들이 보다 원활한 링크 및 첨부 작업을 약속하면서 피싱 키트가 업데이트되었습니다. 이 업데이트는 WebSocket 기술을 피싱 페이지에 통합하여 공격자의 서버에 대한 보다 효율적인 데이터 전송을 위해 브라우저-서버 통신을 향상시키는 것과 동시에 이루어졌습니다.
2024년 2월까지 Tycoon Group은 Gmail 사용자를 대상으로 2단계 인증을 우회할 수 있는 새로운 기능을 도입했습니다. 이 릴리스에는 Gmail '디스플레이' 로그인 페이지와 Google Captcha가 포함되어 Microsoft 365 사용자 이상으로 잠재 대상 고객을 확대합니다.
최신 업데이트에서 그룹은 특히 ADFS를 활용하는 조직의 인증 메커니즘을 대상으로 가입자가 ADFS(Active Directory Federation Services) 쿠키를 수집할 수 있도록 지원을 도입했습니다.
목차
Tycoon 피싱 키트 감염 체인
공격 체인 시퀀스는 신뢰할 수 있는 도메인과 클라우드 기반 서비스를 활용하여 기본 피싱 방문 페이지의 실제 대상 URL을 모호하게 하는 표준 피싱 캠페인으로 시작됩니다. 이 전략에는 평판이 좋은 온라인 메일러 및 마케팅 서비스, 뉴스레터 또는 문서 공유 플랫폼을 최종 피싱 페이지에 대한 링크가 포함된 미끼 문서의 URL 리디렉션 또는 호스트로 활용하는 것이 포함됩니다.
리디렉션은 이메일의 링크를 클릭하면 발생하며, 기본 피싱 페이지에 대한 링크가 포함된 미끼 문서로 연결되거나 리디렉터가 지원하는 기본 피싱 방문 페이지로 직접 연결됩니다.
주요 피싱 랜딩 페이지는 두 가지 기본 구성 요소로 구성됩니다. 보조 구성 요소를 로드하는 'index.php' PHP 스크립트, 접두사가 'myscr'인 '.JS' 파일입니다. 후자 구성 요소의 역할은 피싱 페이지에 대한 HTML 코드를 생성하는 것입니다.
Tycoon 피싱 캠페인은 피해자가 봇이 아닌지 확인합니다.
두 번째 구성 요소 스크립트는 봇 크롤러와 스팸 방지 엔진을 피하기 위해 다양한 난독화 기술을 사용합니다. 그러한 방법 중 하나는 십진 정수로 표시되는 긴 문자 배열을 수반합니다. 각 정수는 문자로 변환된 후 연결되어 피싱 페이지의 HTML 소스 코드를 형성합니다. 또한 스크립트는 '불투명 조건자'로 알려진 난독화 기술을 사용하여 프로그램 흐름에 중복 코드를 도입하여 스크립트의 기본 논리를 모호하게 합니다.
처음에 JavaScript는 CloudFlare Turnstile 서비스를 사용하여 사전 필터링을 수행하여 사람이 링크에 액세스하는지 확인함으로써 자동화된 봇 크롤러와 구별됩니다. 이 PaaS(Phishing-as-a-Service) 사용자는 관리자 패널에서 이 기능을 활성화하고 계정과 연결된 CloudFlare 키를 제공할 수 있습니다. 또한 이 통합은 CloudFlare 대시보드를 통해 피셔에 대한 추가 측정항목을 제공합니다.
확인이 성공적으로 완료되면 JavaScript는 가입자가 선택한 피싱 테마에 맞게 조정된 위조 로그인 페이지를 로드합니다. 예를 들어 Microsoft 365 로그인 페이지를 모방할 수 있습니다.
Tycoon은 고객에게 대시보드 컨트롤을 제공합니다.
Tycoon Group PaaS는 구독자 또는 임차인이 액세스할 수 있는 관리 패널을 제공하여 로그인, 생성 및 캠페인 모니터링은 물론 피싱 자격 증명을 감독할 수 있는 기능을 부여합니다.
사용자는 구독 수준에 따라 정해진 기간 동안 패널에 액세스할 수 있습니다. 개인은 설정 섹션에서 새로운 캠페인을 시작하고 선호하는 피싱 테마를 선택하고 다양한 PaaS 기능을 조정할 수 있습니다. 또한 가입자는 사용자 이름, 비밀번호 및 세션 쿠키를 포함하여 피싱된 자격 증명을 감독할 수 있습니다. 또한 이 서비스를 통해 가입자는 피싱 결과를 텔레그램 계정으로 전달할 수 있습니다.
Tycoon과 같은 피싱 키트를 통해 피싱 공격 실행이 더욱 쉬워지고 있습니다.
Tycoon Group과 같은 기업이 예시하는 서비스형 피싱(Phishing-as-a-Service) 모델의 출현으로 경험이 부족한 범죄자라도 정교한 피싱 공격을 실행할 수 있는 진입 장벽이 크게 낮아졌습니다. 연구원들이 지적한 바와 같이 이러한 서비스를 활용하는 피싱 공격이 급증하는 것은 이러한 접근성을 명백히 보여줍니다. Tycoon Group을 차별화하는 점은 WebSocket 기술을 피싱 페이지에 통합하여 브라우저와 공격자 서버 간의 데이터 전송을 더욱 원활하게 한다는 것입니다. 또한 이 기능은 캠페인 관리와 구독자에 대한 피싱 자격 증명 감독을 단순화합니다.
