Tycoon Phishing Kit
Pojawienie się Tycoon 2FA, nowego zestawu do phishingu, wywołało poważne obawy w społeczności zajmującej się cyberbezpieczeństwem. Jest sprzedawany w ramach usługi Phishing-as-a-Service (PaaS) firmy Tycoon Group w serwisie Telegram i jest dostępny za jedyne 120 dolarów. Do jego kluczowych funkcji należą możliwości ominięcia uwierzytelniania dwuskładnikowego Microsoft, osiągnięcia najwyższej szybkości łącza i wykorzystania Cloudflare do obejścia środków przeciwdziałających botom, zapewniając w ten sposób trwałość niewykrytych łączy phishingowych.
W połowie października 2023 r. zaktualizowano zestaw do phishingu, a cyberprzestępcy obiecują płynniejsze operacje na łączach i załącznikach. Ta aktualizacja zbiegła się w czasie z integracją technologii WebSocket ze stronami phishingowymi, usprawniając komunikację między przeglądarką a serwerem w celu wydajniejszej transmisji danych do serwerów cyberprzestępców.
Już w lutym 2024 roku Grupa Tycoon wprowadziła nową funkcję skierowaną do użytkowników Gmaila, pozwalającą na ominięcie uwierzytelniania dwuskładnikowego. Ta wersja zawiera stronę logowania do Gmaila „Display” i Google Captcha, co poszerza potencjalną grupę docelową poza użytkowników Microsoft 365.
W nowszej aktualizacji grupa wprowadziła obsługę gromadzenia przez subskrybentów plików cookie usług Active Directory Federation Services (ADFS), w szczególności ukierunkowaną na mechanizmy uwierzytelniania organizacji wykorzystujące ADFS.
Spis treści
Łańcuch infekcji zestawu Tycoon Phishing Kit
Sekwencja łańcucha ataków rozpoczyna się od standardowej kampanii phishingowej, która wykorzystuje zaufane domeny i usługi w chmurze, aby ukryć prawdziwy docelowy adres URL głównej strony docelowej phishingu. Strategia ta obejmuje wykorzystanie renomowanych internetowych usług pocztowych i marketingowych, biuletynów lub platform udostępniania dokumentów jako narzędzi przekierowujących adresy URL lub hostów fałszywych dokumentów zawierających łącza do końcowej strony phishingowej.
Przekierowanie następuje po kliknięciu linku w wiadomości e-mail, prowadzącego albo do fałszywego dokumentu zawierającego link do głównej strony phishingowej, albo bezpośrednio do głównej strony docelowej phishingowej obsługiwanej przez przekierowanie.
Główna strona docelowa phishingu składa się z dwóch głównych komponentów: skryptu PHP „index.php” odpowiedzialnego za ładowanie jej komponentu dodatkowego, pliku „.JS” z przedrostkiem „myscr”. Rolą tego ostatniego komponentu jest wygenerowanie kodu HTML strony phishingowej.
Kampania phishingowa Tycoon sprawdza, czy ofiarami nie są boty
Drugi skrypt składowy wykorzystuje różne techniki zaciemniania, aby ominąć roboty indeksujące i silniki antyspamowe. Jedna z takich metod wymaga długiej tablicy znaków reprezentowanych jako dziesiętne liczby całkowite. Każda liczba całkowita podlega konwersji na znaki, a następnie jest łączona w celu utworzenia kodu źródłowego HTML strony phishingowej. Ponadto skrypt wykorzystuje technikę zaciemniania znaną jako „nieprzezroczysty predykat”, wprowadzającą do przepływu programu nadmiarowy kod, aby zaciemnić logikę leżącą u podstaw skryptu.
Początkowo JavaScript przeprowadza wstępne filtrowanie za pomocą usługi CloudFlare Turnstile, aby sprawdzić, czy dostęp do łącza uzyskuje człowiek, odróżniając go od automatycznych robotów indeksujących. Użytkownicy tej usługi Phishing-as-a-Service (PaaS) mogą aktywować tę funkcję w panelu administracyjnym i udostępnić klucze CloudFlare powiązane z ich kontami. Integracja ta zapewnia również dodatkowe wskaźniki dla phishera za pośrednictwem panelu CloudFlare.
Po pomyślnej weryfikacji JavaScript ładuje fałszywą stronę logowania dostosowaną do tematu phishingowego wybranego przez subskrybenta. Może na przykład naśladować stronę logowania Microsoft 365.
Tycoon zapewnia swoim klientom kontrolę na panelu kontrolnym
Tycoon Group PaaS oferuje panel administracyjny dostępny dla subskrybentów lub najemców, dający im możliwość logowania, tworzenia i monitorowania kampanii, a także nadzorowania phishingowych danych uwierzytelniających.
Użytkownicy mogą mieć dostęp do panelu przez określony czas, zależny od posiadanego poziomu abonamentu. Osoby fizyczne mogą inicjować nowe kampanie w sekcji ustawień, wybierając preferowany motyw phishingu i dostosowując różne funkcje PaaS. Ponadto subskrybenci mogą nadzorować wyłudzone dane uwierzytelniające, w tym nazwy użytkowników, hasła i pliki cookie sesji. Ponadto usługa umożliwia abonentom przesyłanie wyników phishingu na swoje konta Telegram.
Ataki phishingowe stają się coraz łatwiejsze do przeprowadzenia za pomocą zestawów phishingowych, takich jak Tycoon
Pojawienie się modelu Phishing-as-a-Service, którego przykładem są podmioty takie jak Tycoon Group, znacznie obniżyło barierę wejścia na rynek dla przeprowadzania wyrafinowanych ataków phishingowych, nawet dla mniej doświadczonych przestępców. Jak zauważyli badacze, dostępność ta jest widoczna we wzroście ataków phishingowych z wykorzystaniem takich usług. To, co wyróżnia Grupę Tycoon, to wykorzystanie technologii WebSocket na stronie phishingowej, umożliwiającej płynniejszą transmisję danych pomiędzy przeglądarką a serwerem atakującego. Co więcej, ta funkcja upraszcza zarządzanie kampaniami i nadzór nad wyłudzonymi danymi uwierzytelniającymi w przypadku subskrybowanych aktorów.
