Tycoon Phishing Kit
Tycoon 2FA, naujo sukčiavimo rinkinio, atsiradimas sukėlė didelį susirūpinimą kibernetinio saugumo bendruomenėje. Parduodama kaip „Tycoon Group“ „Phishing-as-a-Service“ (PaaS) „Telegram“ dalis, ją galima įsigyti tik už 120 USD. Tarp pagrindinių jo funkcijų yra galimybė apeiti „Microsoft“ dviejų veiksnių autentifikavimą, pasiekti aukščiausio lygio nuorodų greitį ir naudoti „Cloudflare“, kad būtų išvengta antiboto priemonių, taip užtikrinant neaptiktų sukčiavimo nuorodų išlikimą.
2023 m. spalio viduryje sukčiavimo rinkinys buvo atnaujintas, kibernetiniai nusikaltėliai žadėjo sklandžiau susieti ir prijungti. Šis atnaujinimas sutapo su WebSocket technologijos integravimu į sukčiavimo puslapius, pagerinančius naršyklės ir serverio ryšį, kad būtų galima efektyviau perduoti duomenis į veikėjų serverius.
Iki 2024 m. vasario mėn. Tycoon Group pristatė naują „Gmail“ naudotojams skirtą funkciją, leidžiančią apeiti dviejų veiksnių autentifikavimą. Į šį leidimą įtrauktas „Gmail“ „Display“ prisijungimo puslapis ir „Google Captcha“, išplečianti potencialią tikslinę auditoriją ne tik „Microsoft 365“ naudotojams.
Naujausiame atnaujinime grupė pristatė palaikymą prenumeratoriams rinkti Active Directory Federation Services (ADFS) slapukus, konkrečiai taikydama organizacijų autentifikavimo mechanizmus naudojant ADFS.
Turinys
„Tycoon Phishing Kit“ infekcijos grandinė
Atakos grandinės seka prasideda standartine sukčiavimo kampanija, kuri išnaudoja patikimus domenus ir debesies paslaugas, kad paslėptų tikrąjį pagrindinio sukčiavimo nukreipimo puslapio paskirties URL. Ši strategija apima patikimų internetinių laiškų siuntimo ir rinkodaros paslaugų, informacinių biuletenių ar dokumentų dalijimosi platformų panaudojimą kaip URL peradresavimo arba prieglobos dokumentus, kuriuose yra nuorodų į galutinį sukčiavimo puslapį.
Peradresavimas įvyksta spustelėjus el. laiške esančią nuorodą, kuri nukreipia į apgaulės dokumentą su nuoroda į pagrindinį sukčiavimo puslapį arba tiesiai į pagrindinį sukčiavimo nukreipimo puslapį, kurį palengvina peradresavimo priemonė.
Pagrindinį sukčiavimo nukreipimo puslapį sudaro du pagrindiniai komponentai: „index.php“ PHP scenarijus, atsakingas už antrinio komponento įkėlimą, „.JS“ failas su priešdėliu „myscr“. Pastarojo komponento vaidmuo yra sugeneruoti sukčiavimo puslapio HTML kodą.
Tycoon Sukčiavimo kampanija patikrina, ar aukos nėra robotai
Antrojo komponento scenarijus naudoja įvairius užmaskavimo būdus, kad išvengtų robotų tikrintuvų ir antispam variklių. Vienas iš tokių metodų apima ilgą simbolių masyvą, pateikiamą kaip sveikieji dešimtainiai skaičiai. Kiekvienas sveikasis skaičius konvertuojamas į simbolius, o tada sujungiamas į sukčiavimo puslapio HTML šaltinio kodą. Be to, scenarijus naudoja užmaskavimo metodą, žinomą kaip „nepermatomas predikatas“, įvedant perteklinį kodą į programos srautą, kad būtų užgožta pagrindinė scenarijaus logika.
Iš pradžių „JavaScript“ atlieka išankstinį filtravimą naudodama „CloudFlare Turnstile“ paslaugą, kad patikrintų, ar nuorodą pasiekia žmogus, išskiriant ją nuo automatinių robotų tikrintuvų. Šios sukčiavimo kaip paslaugos (PaaS) naudotojai gali suaktyvinti šią funkciją administratoriaus skydelyje ir pateikti su savo paskyromis susietus „CloudFlare“ raktus. Ši integracija taip pat suteikia papildomos metrikos sukčiavimui per „CloudFlare“ prietaisų skydelį.
Sėkmingai patvirtinus, „JavaScript“ įkelia suklastotą prisijungimo puslapį, pritaikytą prenumeratoriaus pasirinktai sukčiavimo temai. Pavyzdžiui, jis gali imituoti „Microsoft 365“ prisijungimo puslapį.
„Tycoon“ savo klientams teikia prietaisų skydelio valdiklį
„Tycoon Group PaaS“ siūlo abonentams ar nuomininkams prieinamą administratoriaus skydelį, suteikiantį jiems galimybę prisijungti, kurti ir stebėti kampanijas, taip pat prižiūrėti sukčiavimo kredencialus.
Vartotojai gali turėti prieigą prie skydelio tam tikrą laikotarpį, atsižvelgiant į jų prenumeratos lygį. Asmenys gali inicijuoti naujas kampanijas nustatymų skiltyje, pasirinkdami pageidaujamą sukčiavimo temą ir koreguodami įvairias PaaS funkcijas. Be to, prenumeratoriai gali prižiūrėti sukčiavimo kredencialus, įskaitant naudotojų vardus, slaptažodžius ir seanso slapukus. Be to, ši paslauga leidžia abonentams persiųsti sukčiavimo rezultatus į savo Telegram paskyras.
Sukčiavimo išpuolius tampa lengviau vykdyti naudojant sukčiavimo rinkinius, tokius kaip „Tycoon“
Sukčiavimo kaip paslaugos modelio atsiradimas, kurio pavyzdžiu yra tokie subjektai kaip „Tycoon Group“, žymiai sumažino kliūtis patekti į sudėtingas sukčiavimo atakas, net ir mažiau patyrusiems nusikaltėliams. Tyrėjai pastebėjo, kad šis prieinamumas yra akivaizdus dėl sukčiavimo atakų, naudojančių tokias paslaugas, antplūdžio. Tycoon Group išsiskiria tuo, kad į sukčiavimo puslapį įtraukta WebSocket technologija, leidžianti sklandžiau perduoti duomenis tarp naršyklės ir užpuoliko serverio. Be to, ši funkcija supaprastina kampanijos valdymą ir prenumeruojamų veikėjų sukčiavimo kredencialų priežiūrą.
