Tycoon Phishing Kit
O surgimento do Tycoon 2FA, um novo kit de phishing, gerou preocupações significativas na comunidade de segurança cibernética. Comercializado como parte do Phishing-as-a-Service (PaaS) do Tycoon Group no Telegram, está disponível por apenas US$ 120. Entre seus principais recursos estão a capacidade de ignorar a autenticação de dois fatores da Microsoft, atingir velocidade de link de nível superior e utilizar Cloudflare para contornar medidas antibot, garantindo assim a persistência de links de phishing não detectados.
Em meados de outubro de 2023, o kit de phishing foi atualizado, com os cibercriminosos prometendo operações mais suaves de links e anexos. Esta atualização coincidiu com a integração da tecnologia WebSocket em suas páginas de phishing, melhorando a comunicação entre navegador e servidor para uma transmissão de dados mais eficiente aos servidores dos atores.
Em fevereiro de 2024, o Tycoon Group introduziu um novo recurso direcionado aos usuários do Gmail, permitindo ignorar a autenticação de dois fatores. Esta versão inclui uma página de login ‘Display’ do Gmail e Google Captcha, ampliando seu público-alvo potencial além dos usuários do Microsoft 365.
Em uma atualização mais recente, o grupo introduziu suporte para assinantes coletarem cookies dos Serviços de Federação do Active Directory (ADFS), visando especificamente os mecanismos de autenticação das organizações que utilizam ADFS.
Índice
A Cadeia de Infecção do Tycoon Phishing Kit
A sequência da cadeia de ataque começa com uma campanha de phishing padrão que explora domínios confiáveis e serviços baseados em nuvem para ocultar o verdadeiro URL de destino da página principal de phishing. Essa estratégia envolve o aproveitamento de serviços de marketing e mala direta on-line confiáveis, boletins informativos ou plataformas de compartilhamento de documentos como redirecionadores de URL ou hosts para documentos falsos contendo links para a página final de phishing.
O redirecionamento ocorre ao clicar em um link no e-mail, levando a um documento falso com um link para a página de phishing principal ou diretamente à página principal de phishing facilitada por um redirecionador.
A página principal de phishing compreende dois componentes principais: um script PHP 'index.php' responsável por carregar seu componente secundário, um arquivo '.JS' prefixado com 'myscr'. A função deste último componente é gerar o código HTML para a página de phishing.
A Campanha do Tycoon Phishing Kit Verifica Se as Vítimas não são Bots
O script do segundo componente emprega várias técnicas de ofuscação para escapar de rastreadores de bots e mecanismos antispam. Um desses métodos envolve uma longa matriz de caracteres representados como números inteiros decimais. Cada número inteiro é convertido em caracteres e então concatenado para formar o código-fonte HTML da página de phishing. Além disso, o script emprega uma técnica de ofuscação conhecida como “predicado opaco”, introduzindo código redundante no fluxo do programa para obscurecer a lógica subjacente do script.
Inicialmente, o JavaScript realiza uma pré-filtragem usando o serviço CloudFlare Turnstile para verificar se o link é acessado por um ser humano, distinguindo-o dos rastreadores de bots automatizados. Os usuários deste Phishing-as-a-Service (PaaS) podem ativar esse recurso no painel de administração e fornecer chaves CloudFlare associadas às suas contas. Essa integração também fornece métricas adicionais para o phisher por meio do painel CloudFlare.
Após a verificação bem-sucedida, o JavaScript carrega uma página de login falsa adaptada ao tema de phishing escolhido pelo assinante. Por exemplo, pode imitar uma página de login do Microsoft 365.
O Tycoon Fornece aos Seus Cliente o Controle do Painel
O Tycoon Group PaaS oferece um painel de administração acessível a assinantes ou locatários, concedendo-lhes a capacidade de fazer login, criar e monitorar campanhas, bem como supervisionar credenciais de phishing.
Os usuários poderão ter acesso ao painel por um período determinado, dependendo do nível de assinatura. Os indivíduos podem iniciar novas campanhas na seção de configurações, escolhendo o tema de phishing preferido e ajustando vários recursos do PaaS. Além disso, os assinantes podem monitorar credenciais roubadas, incluindo nomes de usuário, senhas e cookies de sessão. Além disso, o serviço permite que os assinantes encaminhem resultados de phishing para suas contas do Telegram.
Os Ataques de Phishing estão se Tornando Mais Fáceis de Se Executar por Meio de Kits de Phishing como o Tycoon
O surgimento do modelo Phishing-as-a-Service, exemplificado por entidades como o Tycoon Group, reduziu significativamente a barreira de entrada para a execução de ataques sofisticados de phishing, mesmo para criminosos menos experientes. Esta acessibilidade é evidente no aumento de ataques de phishing que utilizam tais serviços, conforme observado pelos investigadores. O que diferencia o Tycoon Group é a incorporação da tecnologia WebSocket na página de phishing, permitindo uma transmissão de dados mais suave entre o navegador e o servidor do invasor. Além disso, esse recurso simplifica o gerenciamento de campanhas e a supervisão de credenciais de phishing para atores inscritos.
