Tycoon Phishing Kit
Kemunculan Tycoon 2FA, kit pancingan data baharu, telah mencetuskan kebimbangan yang ketara dalam komuniti keselamatan siber. Dipasarkan sebagai sebahagian daripada Phishing-as-a-Service (PaaS) Kumpulan Tycoon di Telegram, ia boleh didapati dengan harga serendah $120. Antara ciri utamanya ialah keupayaan untuk memintas pengesahan dua faktor Microsoft, mencapai kelajuan pautan peringkat teratas, dan menggunakan Cloudflare untuk memintas langkah antibot, dengan itu memastikan kegigihan pautan pancingan data yang tidak dapat dikesan.
Pada pertengahan Oktober 2023, kit pancingan data telah dikemas kini, dengan penjenayah siber menjanjikan operasi pautan dan lampiran yang lebih lancar. Kemas kini ini bertepatan dengan menyepadukan teknologi WebSocket ke dalam halaman pancingan data mereka, meningkatkan komunikasi pelayar-ke-pelayan untuk penghantaran data yang lebih cekap kepada pelayan pelakon.
Menjelang Februari 2024, Kumpulan Tycoon memperkenalkan ciri baharu yang menyasarkan pengguna Gmail, membenarkan untuk memintas pengesahan dua faktor. Keluaran ini termasuk halaman log masuk 'Paparan' Gmail dan Google Captcha, meluaskan potensi khalayak sasarannya melangkaui pengguna Microsoft 365.
Dalam kemas kini yang lebih terkini, kumpulan itu memperkenalkan sokongan untuk pelanggan untuk mengumpul kuki Active Directory Federation Services (ADFS), khususnya menyasarkan mekanisme pengesahan organisasi yang menggunakan ADFS.
Isi kandungan
Rantaian Jangkitan Kit Phishing Tycoon
Urutan rantaian serangan bermula dengan kempen pancingan data standard yang mengeksploitasi domain yang dipercayai dan perkhidmatan berasaskan awan untuk mengaburkan URL destinasi sebenar halaman pendaratan pancingan data utama. Strategi ini memerlukan memanfaatkan perkhidmatan mel dan pemasaran dalam talian yang bereputasi, surat berita atau platform perkongsian dokumen sebagai pengarah semula URL atau hos untuk dokumen penipuan yang mengandungi pautan ke halaman pancingan data terakhir.
Pengalihan semula berlaku apabila mengklik pautan dalam e-mel, membawa sama ada kepada dokumen penipuan dengan pautan ke halaman pancingan data utama atau terus ke halaman pendaratan pancingan data utama yang difasilitasi oleh pengarah semula.
Halaman pendaratan pancingan data utama terdiri daripada dua komponen utama: skrip PHP 'index.php' yang bertanggungjawab untuk memuatkan komponen sekundernya, fail '.JS' yang diawali dengan 'myscr.' Peranan komponen terakhir adalah untuk menjana kod HTML untuk halaman pancingan data.
Kempen Phishing Tycoon Menyemak sama ada Mangsa Bukan Bot
Skrip komponen kedua menggunakan pelbagai teknik pengeliruan untuk mengelak perangkak bot dan enjin antispam. Satu kaedah sedemikian memerlukan susunan aksara yang panjang yang diwakili sebagai integer perpuluhan. Setiap integer mengalami penukaran kepada aksara dan kemudian digabungkan untuk membentuk kod sumber HTML halaman pancingan data. Selain itu, skrip menggunakan teknik pengeliruan yang dikenali sebagai 'predikat legap,' memperkenalkan kod berlebihan ke dalam aliran atur cara untuk mengaburkan logik asas skrip.
Pada mulanya, JavaScript menjalankan prapenapisan menggunakan perkhidmatan CloudFlare Turnstile untuk mengesahkan bahawa pautan itu diakses oleh manusia, membezakannya daripada perangkak bot automatik. Pengguna Phishing-as-a-Service (PaaS) ini boleh mengaktifkan ciri ini dalam panel pentadbir dan memberikan kunci CloudFlare yang dikaitkan dengan akaun mereka. Penyepaduan ini juga memberikan metrik tambahan untuk pemancing data melalui papan pemuka CloudFlare.
Setelah pengesahan berjaya, JavaScript memuatkan halaman log masuk palsu yang disesuaikan dengan tema pancingan data yang dipilih oleh pelanggan. Sebagai contoh, ia mungkin meniru halaman log masuk Microsoft 365.
Tycoon Menyediakan Pelanggannya Kawalan Papan Pemuka
Tycoon Group PaaS menawarkan panel pentadbir yang boleh diakses oleh pelanggan atau penyewa, memberikan mereka keupayaan untuk log masuk, mencipta dan memantau kempen, serta mengawasi kelayakan pancingan data.
Pengguna mungkin mempunyai akses kepada panel untuk tempoh yang ditetapkan, bergantung pada tahap langganan mereka. Individu boleh memulakan kempen baharu dalam bahagian tetapan, memilih tema pancingan data pilihan dan melaraskan pelbagai ciri PaaS. Selain itu, pelanggan boleh mengawasi bukti kelayakan pancingan data, merangkumi nama pengguna, kata laluan dan kuki sesi. Tambahan pula, perkhidmatan tersebut membenarkan pelanggan memajukan hasil pancingan data ke akaun Telegram mereka.
Serangan Phishing Menjadi Lebih Mudah untuk Dilaksanakan melalui Kit Phishing Seperti Tycoon
Kemunculan model Phishing-as-a-Service, yang dicontohkan oleh entiti seperti Tycoon Group, telah mengurangkan dengan ketara halangan kepada kemasukan untuk melaksanakan serangan pancingan data yang canggih, walaupun untuk penjenayah yang kurang berpengalaman. Kebolehcapaian ini terbukti dalam lonjakan serangan pancingan data yang menggunakan perkhidmatan sedemikian, seperti yang dinyatakan oleh penyelidik. Apa yang membezakan Kumpulan Tycoon ialah penggabungan teknologi WebSocket ke dalam halaman pancingan data, membolehkan penghantaran data yang lebih lancar antara penyemak imbas dan pelayan penyerang. Selain itu, ciri ini memudahkan pengurusan kempen dan pengawasan bukti kelayakan pancingan data untuk pelakon yang dilanggan.
