Tycoon Phishing Kit
Fremveksten av Tycoon 2FA, et nytt phishing-sett, har utløst betydelige bekymringer i nettsikkerhetsmiljøet. Markedsført som en del av Tycoon Groups Phishing-as-a-Service (PaaS) på Telegram, er den tilgjengelig for så lite som $120. Blant nøkkelfunksjonene er mulighetene for å omgå Microsofts tofaktorautentisering, oppnå toppnivåkoblingshastighet og bruke Cloudflare for å omgå antibottiltak, og dermed sikre vedvarende uoppdagede phishing-koblinger.
I midten av oktober 2023 ble phishing-settet oppdatert, med nettkriminelle som lovet jevnere koblings- og vedleggsoperasjoner. Denne oppdateringen falt sammen med integreringen av WebSocket-teknologien i phishing-sidene deres, og forbedret nettleser-til-server-kommunikasjon for mer effektiv dataoverføring til aktørenes servere.
I februar 2024 introduserte Tycoon Group en ny funksjon rettet mot Gmail-brukere, som gjør det mulig å omgå tofaktorautentisering. Denne utgivelsen inkluderer en Gmail "Display"-påloggingsside og Google Captcha, noe som utvider den potensielle målgruppen utover Microsoft 365-brukere.
I en nyere oppdatering introduserte gruppen støtte for abonnenter for å samle Active Directory Federation Services (ADFS) informasjonskapsler, spesifikt rettet mot organisasjoners autentiseringsmekanismer som bruker ADFS.
Innholdsfortegnelse
Tycoon Phishing Kit-infeksjonskjeden
Angrepskjedesekvensen begynner med en standard phishing-kampanje som utnytter pålitelige domener og skybaserte tjenester for å skjule den sanne destinasjonsadressen til hovednettstedet for phishing. Denne strategien innebærer å utnytte anerkjente elektroniske e-post- og markedsføringstjenester, nyhetsbrev eller dokumentdelingsplattformer som URL-omdirigerere eller verter for lokkedokumenter som inneholder lenker til den endelige phishing-siden.
Omdirigeringen skjer ved å klikke på en lenke i e-posten, og fører enten til et lokkedokument med en lenke til den primære phishing-siden eller direkte til hoved-phishing-landingssiden tilrettelagt av en omadressering.
Den viktigste landingssiden for phishing består av to primære komponenter: et 'index.php' PHP-skript som er ansvarlig for å laste den sekundære komponenten, en '.JS'-fil med prefikset 'myscr'. Sistnevnte komponents rolle er å generere HTML-koden for phishing-siden.
Tycoon Phishing-kampanjen sjekker om ofrene ikke er bots
Det andre komponentskriptet bruker forskjellige tilsløringsteknikker for å unngå robotsøkeprogrammer og antispammotorer. En slik metode innebærer en lang rekke tegn representert som desimaltall. Hvert heltall gjennomgår konvertering til tegn og kobles deretter sammen for å danne HTML-kildekoden til phishing-siden. I tillegg bruker skriptet en uklarhetsteknikk kjent som et "ugjennomsiktig predikat", som introduserer redundant kode i programflyten for å skjule skriptets underliggende logikk.
Til å begynne med utfører JavaScript forhåndsfiltrering ved å bruke CloudFlare Turnstile-tjenesten for å bekrefte at koblingen er tilgjengelig for et menneske, og skiller den fra automatiserte robotsøkeprogrammer. Brukere av denne phishing-as-a-service (PaaS) kan aktivere denne funksjonen i administrasjonspanelet og gi CloudFlare-nøkler knyttet til kontoene deres. Denne integrasjonen gir også ekstra beregninger for phisheren gjennom CloudFlare-dashbordet.
Etter vellykket verifisering laster JavaScript en forfalsket påloggingsside skreddersydd for phishing-temaet valgt av abonnenten. For eksempel kan det etterligne en Microsoft 365-påloggingsside.
Tycoon gir sine kunder en Dashboard-kontroll
Tycoon Group PaaS tilbyr et adminpanel tilgjengelig for abonnenter eller leietakere, og gir dem muligheten til å logge på, opprette og overvåke kampanjer, samt overvåke phished-legitimasjon.
Brukere kan ha tilgang til panelet i en bestemt periode, avhengig av abonnementsnivået. Enkeltpersoner kan starte nye kampanjer i innstillingsdelen, velge det foretrukne phishing-temaet og justere ulike PaaS-funksjoner. I tillegg kan abonnenter overvåke phished-legitimasjon, som omfatter brukernavn, passord og øktinformasjonskapsler. Videre tillater tjenesten abonnenter å videresende phishing-utfall til sine Telegram-kontoer.
Phishing-angrep blir lettere å utføre via phishing-sett som Tycoon
Fremveksten av Phishing-as-a-Service-modellen, eksemplifisert ved enheter som Tycoon Group, har betydelig senket adgangsbarrieren for å utføre sofistikerte phishing-angrep, selv for mindre erfarne kriminelle. Denne tilgjengeligheten er tydelig i bølgen av phishing-angrep som bruker slike tjenester, som bemerket av forskere. Det som skiller Tycoon Group er dens inkorporering av WebSocket-teknologien i phishing-siden, noe som muliggjør jevnere dataoverføring mellom nettleseren og angriperens server. Dessuten forenkler denne funksjonen kampanjeadministrasjon og tilsyn med phished-legitimasjon for abonnenter.
