Tycoon Phishing-kit
De opkomst van Tycoon 2FA, een nieuwe phishing-kit, heeft tot grote zorgen geleid binnen de cyberbeveiligingsgemeenschap. Het wordt op de markt gebracht als onderdeel van de Phishing-as-a-Service (PaaS) van de Tycoon Group op Telegram en is beschikbaar voor slechts $ 120. Tot de belangrijkste kenmerken behoren de mogelijkheden om de tweefactorauthenticatie van Microsoft te omzeilen, verbindingssnelheden op het hoogste niveau te bereiken en Cloudflare te gebruiken om antibotmaatregelen te omzeilen, waardoor de persistentie van onopgemerkte phishing-links wordt gegarandeerd.
Medio oktober 2023 werd de phishing-kit bijgewerkt, waarbij cybercriminelen soepeler koppelings- en bijlagebewerkingen beloofden. Deze update viel samen met de integratie van de WebSocket-technologie in hun phishing-pagina's, waardoor de browser-naar-server-communicatie werd verbeterd voor een efficiëntere gegevensoverdracht naar de servers van de actoren.
In februari 2024 introduceerde de Tycoon Group een nieuwe functie die zich richtte op Gmail-gebruikers, waardoor tweefactorauthenticatie kon worden omzeild. Deze release bevat een Gmail 'Display'-inlogpagina en Google Captcha, waardoor de potentiële doelgroep wordt uitgebreid tot buiten Microsoft 365-gebruikers.
In een recentere update introduceerde de groep ondersteuning voor abonnees om Active Directory Federation Services (ADFS)-cookies te verzamelen, specifiek gericht op de authenticatiemechanismen van organisaties die gebruik maken van ADFS.
Inhoudsopgave
De Tycoon Phishing Kit-infectieketen
De aanvalsketen begint met een standaard phishing-campagne die vertrouwde domeinen en cloudgebaseerde services exploiteert om de echte bestemmings-URL van de belangrijkste phishing-bestemmingspagina te verbergen. Deze strategie omvat het inzetten van gerenommeerde online mailing- en marketingdiensten, nieuwsbrieven of platforms voor het delen van documenten als URL-redirectors of hosts voor lokdocumenten met links naar de uiteindelijke phishing-pagina.
De omleiding vindt plaats wanneer op een link in de e-mail wordt geklikt, wat leidt naar een lokdocument met een link naar de primaire phishing-pagina of rechtstreeks naar de hoofdbestemmingspagina van phishing, mogelijk gemaakt door een redirector.
De belangrijkste phishing-bestemmingspagina bestaat uit twee primaire componenten: een 'index.php' PHP-script dat verantwoordelijk is voor het laden van de secundaire component, een '.JS'-bestand voorafgegaan door 'myscr.' De rol van laatstgenoemde component is het genereren van de HTML-code voor de phishing-pagina.
De Tycoon Phishing-campagne controleert of slachtoffers geen bots zijn
Het tweede componentscript maakt gebruik van verschillende verduisteringstechnieken om botcrawlers en antispam-engines te omzeilen. Eén zo'n methode omvat een lange reeks tekens die worden weergegeven als decimale gehele getallen. Elk geheel getal wordt omgezet in tekens en vervolgens samengevoegd om de HTML-broncode van de phishing-pagina te vormen. Bovendien maakt het script gebruik van een verduisteringstechniek die bekend staat als een 'ondoorzichtig predikaat', waarbij overtollige code in de programmastroom wordt geïntroduceerd om de onderliggende logica van het script te verdoezelen.
In eerste instantie voert JavaScript een voorfilter uit met behulp van de CloudFlare Turnstile-service om te verifiëren dat de link toegankelijk is voor een mens, waardoor deze wordt onderscheiden van geautomatiseerde botcrawlers. Gebruikers van deze Phishing-as-a-Service (PaaS) kunnen deze functie activeren in het beheerdersdashboard en CloudFlare-sleutels verstrekken die aan hun accounts zijn gekoppeld. Deze integratie biedt ook aanvullende statistieken voor de phisher via het CloudFlare-dashboard.
Na succesvolle verificatie laadt JavaScript een valse inlogpagina die is afgestemd op het door de abonnee gekozen phishing-thema. Het kan bijvoorbeeld een Microsoft 365-inlogpagina nabootsen.
Tycoon biedt zijn klanten een dashboardcontrole
De Tycoon Group PaaS biedt een beheerderspaneel dat toegankelijk is voor abonnees of huurders, waardoor ze kunnen inloggen, campagnes kunnen maken en monitoren, en toezicht kunnen houden op phishing-gegevens.
Gebruikers kunnen gedurende een bepaalde periode toegang hebben tot het panel, afhankelijk van hun abonnementsniveau. Individuen kunnen nieuwe campagnes starten in het instellingengedeelte, het gewenste phishing-thema kiezen en verschillende PaaS-functies aanpassen. Bovendien kunnen abonnees toezicht houden op phishinggegevens, waaronder gebruikersnamen, wachtwoorden en sessiecookies. Bovendien biedt de dienst abonnees de mogelijkheid om phishing-resultaten door te sturen naar hun Telegram-accounts.
Phishing-aanvallen worden steeds gemakkelijker uit te voeren via phishing-kits zoals Tycoon
De opkomst van het Phishing-as-a-Service-model, geïllustreerd door entiteiten als de Tycoon Group, heeft de toegangsdrempel voor het uitvoeren van geavanceerde phishing-aanvallen aanzienlijk verlaagd, zelfs voor minder ervaren criminelen. Deze toegankelijkheid blijkt duidelijk uit de golf van phishing-aanvallen waarbij gebruik wordt gemaakt van dergelijke diensten, zoals opgemerkt door onderzoekers. Wat de Tycoon Group onderscheidt, is de integratie van de WebSocket-technologie in de phishing-pagina, waardoor een soepelere gegevensoverdracht tussen de browser en de server van de aanvaller mogelijk wordt. Bovendien vereenvoudigt deze functie het campagnebeheer en het toezicht op phishinggegevens voor geabonneerde actoren.
