Tycoon Phishing Kit
Tycoon 2FA, jauna pikšķerēšanas komplekta parādīšanās ir radījusi nopietnas bažas kiberdrošības kopienā. Tirgots kā daļa no Tycoon Group's Phishing-as-a-Service (PaaS) vietnē Telegram, tas ir pieejams tikai par 120 USD. Viena no galvenajām funkcijām ir iespēja apiet Microsoft divu faktoru autentifikāciju, sasniegt augstākā līmeņa saites ātrumu un izmantot Cloudflare, lai apietu antibotu pasākumus, tādējādi nodrošinot neatklātu pikšķerēšanas saišu noturību.
2023. gada oktobra vidū pikšķerēšanas komplekts tika atjaunināts, un kibernoziedznieki solīja vienmērīgākas saites un pievienošanas darbības. Šis atjauninājums sakrita ar WebSocket tehnoloģijas integrēšanu savās pikšķerēšanas lapās, uzlabojot pārlūkprogrammas saziņu starp serveri, lai nodrošinātu efektīvāku datu pārraidi uz dalībnieku serveriem.
Līdz 2024. gada februārim Tycoon Group ieviesa jaunu funkciju, kas paredzēta Gmail lietotājiem, ļaujot apiet divu faktoru autentifikāciju. Šajā laidienā ir iekļauta Gmail pieteikšanās lapa “Displejs” un Google Captcha, kas paplašina tās potenciālo mērķauditoriju ārpus Microsoft 365 lietotājiem.
Jaunākā atjauninājumā grupa ieviesa atbalstu abonentiem Active Directory Federation Services (ADFS) sīkfailu vākšanai, īpaši mērķējot uz organizāciju autentifikācijas mehānismiem, izmantojot ADFS.
Satura rādītājs
Tycoon pikšķerēšanas komplekta infekcijas ķēde
Uzbrukuma ķēdes secība sākas ar standarta pikšķerēšanas kampaņu, kas izmanto uzticamus domēnus un mākoņpakalpojumus, lai aizēnotu galvenās pikšķerēšanas galvenās lapas patieso galamērķa URL. Šī stratēģija ietver cienījamu tiešsaistes pasta sūtīšanas un mārketinga pakalpojumu, biļetenu vai dokumentu koplietošanas platformu izmantošanu kā URL novirzītājus vai resursdatorus mānekļu dokumentiem, kuros ir saites uz pēdējo pikšķerēšanas lapu.
Novirzīšana notiek, noklikšķinot uz saites e-pastā, kas novirza vai nu uz mānekļu dokumentu ar saiti uz primāro pikšķerēšanas lapu, vai tieši uz galveno pikšķerēšanas galveno lapu, ko veicina novirzītājs.
Galvenajā pikšķerēšanas galvenajā lapā ir divi galvenie komponenti: PHP skripts "index.php", kas ir atbildīgs par tā sekundārā komponenta ielādi, ".JS" fails ar prefiksu "myscr". Pēdējā komponenta uzdevums ir ģenerēt HTML kodu pikšķerēšanas lapai.
Tycoon pikšķerēšanas kampaņa pārbauda, vai upuri nav roboti
Otrā komponenta skripts izmanto dažādas neskaidrības metodes, lai izvairītos no robotprogrammatūras un pretsurogātpasta dzinējiem. Viena no šādām metodēm ietver garu rakstzīmju masīvu, kas attēlota kā veseli decimālskaitļi. Katrs vesels skaitlis tiek pārveidots par rakstzīmēm un pēc tam tiek savienots, lai izveidotu pikšķerēšanas lapas HTML avota kodu. Turklāt skripts izmanto apmulsināšanas paņēmienu, kas pazīstams kā "necaurspīdīgs predikāts", ieviešot lieku kodu programmas plūsmā, lai aizēnotu skripta pamatā esošo loģiku.
Sākotnēji JavaScript veic priekšfiltrēšanu, izmantojot pakalpojumu CloudFlare Turnstile, lai pārbaudītu, vai saitei piekļūst cilvēks, atšķirot to no automatizētām robotprogrammatūrām. Šī pikšķerēšanas kā pakalpojuma (PaaS) lietotāji var aktivizēt šo funkciju administratora panelī un nodrošināt ar saviem kontiem saistītās CloudFlare atslēgas. Šī integrācija nodrošina arī papildu metriku pikšķerētājam, izmantojot CloudFlare informācijas paneli.
Pēc veiksmīgas verifikācijas JavaScript ielādē viltotu pierakstīšanās lapu, kas ir pielāgota abonenta izvēlētajai pikšķerēšanas tēmai. Piemēram, tas var atdarināt Microsoft 365 pieteikšanās lapu.
Tycoon saviem klientiem nodrošina informācijas paneļa vadību
Tycoon Group PaaS piedāvā administratora paneli, kas pieejams abonentiem vai nomniekiem, nodrošinot viņiem iespēju pieteikties, izveidot un pārraudzīt kampaņas, kā arī pārraudzīt pikšķerēšanas akreditācijas datus.
Lietotājiem var būt piekļuve panelim uz noteiktu laiku atkarībā no abonēšanas līmeņa. Personas var uzsākt jaunas kampaņas iestatījumu sadaļā, izvēloties vēlamo pikšķerēšanas tēmu un pielāgojot dažādas PaaS funkcijas. Turklāt abonenti var pārraudzīt pikšķerētos akreditācijas datus, tostarp lietotājvārdus, paroles un sesijas sīkfailus. Turklāt pakalpojums ļauj abonentiem pārsūtīt pikšķerēšanas rezultātus uz saviem Telegram kontiem.
Pikšķerēšanas uzbrukumus kļūst vieglāk izpildīt, izmantojot pikšķerēšanas komplektus, piemēram, Tycoon
Pikšķerēšanas kā pakalpojuma modeļa parādīšanās, kā piemēru var minēt tādas struktūras kā Tycoon Group, ir ievērojami samazinājusi barjeru ienākšanai sarežģītu pikšķerēšanas uzbrukumu veikšanai pat mazāk pieredzējušiem noziedzniekiem. Šī pieejamība ir acīmredzama pikšķerēšanas uzbrukumu pieaugumā, izmantojot šādus pakalpojumus, kā atzīmējuši pētnieki. Tycoon Group atšķiras ar WebSocket tehnoloģijas iekļaušanu pikšķerēšanas lapā, nodrošinot vienmērīgāku datu pārraidi starp pārlūkprogrammu un uzbrucēja serveri. Turklāt šī funkcija vienkāršo kampaņas pārvaldību un pikšķerēšanas akreditācijas datu pārraudzību abonētajiem dalībniekiem.
