Tycoon Phishing Kit
Apariția Tycoon 2FA, un nou kit de phishing, a stârnit îngrijorări semnificative în comunitatea de securitate cibernetică. Comercializat ca parte a Phishing-as-a-Service (PaaS) al Tycoon Group pe Telegram, este disponibil pentru doar 120 USD. Printre caracteristicile sale cheie se numără capabilitățile de a ocoli autentificarea în doi factori Microsoft, de a atinge viteza de legătură de nivel superior și de a utiliza Cloudflare pentru a evita măsurile antibot, asigurând astfel persistența legăturilor de phishing nedetectate.
La jumătatea lunii octombrie 2023, kitul de phishing a fost actualizat, infractorii cibernetici promițând operațiuni mai bune de conectare și atașare. Această actualizare a coincis cu integrarea tehnologiei WebSocket în paginile lor de phishing, îmbunătățind comunicarea de la browser la server pentru o transmitere mai eficientă a datelor către serverele actorilor.
Până în februarie 2024, Tycoon Group a introdus o nouă funcție care vizează utilizatorii Gmail, permițând ocolirea autentificării cu doi factori. Această versiune include o pagină de conectare Gmail „Display” și Google Captcha, extinzându-și publicul țintă potențial dincolo de utilizatorii Microsoft 365.
Într-o actualizare mai recentă, grupul a introdus suport pentru abonați pentru a colecta module cookie ADFS (Active Directory Federation Services), vizând în mod special mecanismele de autentificare ale organizațiilor care utilizează ADFS.
Cuprins
Lanțul de infecție Tycoon Phishing Kit
Secvența lanțului de atac începe cu o campanie standard de phishing care exploatează domenii de încredere și servicii bazate pe cloud pentru a ascunde adevărata URL de destinație a paginii de destinație principale de phishing. Această strategie presupune folosirea serviciilor online de e-mail și marketing, buletine informative sau platforme de partajare a documentelor de renume ca redirectori URL sau gazde pentru documente captivante care conțin link-uri către pagina finală de phishing.
Redirecționarea are loc atunci când faceți clic pe un link din e-mail, conducând fie la un document de momeală cu un link către pagina principală de phishing, fie direct către pagina principală de destinație de phishing facilitată de un redirector.
Pagina principală de destinație de phishing cuprinde două componente principale: un script PHP „index.php” responsabil pentru încărcarea componentei secundare, un fișier „.JS” prefixat cu „myscr”. Rolul acestei din urmă componente este de a genera codul HTML pentru pagina de phishing.
Campania Tycoon Phishing verifică dacă victimele nu sunt roboți
Al doilea script de componentă folosește diferite tehnici de ofuscare pentru a evita crawlerele bot și motoarele antispam. O astfel de metodă implică o matrice lungă de caractere reprezentate ca numere întregi zecimale. Fiecare număr întreg este supus conversiei în caractere și apoi este concatenat pentru a forma codul sursă HTML al paginii de phishing. În plus, scriptul folosește o tehnică de ofuscare cunoscută sub numele de „predicat opac”, introducând cod redundant în fluxul programului pentru a ascunde logica de bază a scriptului.
Inițial, JavaScript efectuează prefiltrarea utilizând serviciul CloudFlare Turnstile pentru a verifica dacă linkul este accesat de un om, diferențiandu-l de crawlerele automate de bot. Utilizatorii acestui serviciu Phishing-as-a-Service (PaaS) pot activa această funcție în panoul de administrare și pot furniza cheile CloudFlare asociate contului lor. Această integrare oferă, de asemenea, valori suplimentare pentru phisher prin tabloul de bord CloudFlare.
După verificarea cu succes, JavaScript încarcă o pagină de conectare contrafăcută, adaptată temei de phishing aleasă de abonat. De exemplu, poate imita o pagină de conectare Microsoft 365.
Tycoon oferă clienților săi un control de tablou de bord
Tycoon Group PaaS oferă un panou de administrare accesibil abonaților sau chiriașilor, oferindu-le posibilitatea de a se conecta, crea și monitoriza campanii, precum și de a supraveghea acreditările de phishing.
Utilizatorii pot avea acces la panou pentru o perioadă stabilită, în funcție de nivelul lor de abonament. Persoanele fizice pot iniția campanii noi în secțiunea de setări, alegând tema de phishing preferată și ajustând diferite funcții PaaS. În plus, abonații pot supraveghea acreditările de phishing, cuprinzând nume de utilizator, parole și cookie-uri de sesiune. În plus, serviciul le permite abonaților să trimită rezultate de phishing către conturile lor Telegram.
Atacurile de phishing devin din ce în ce mai ușor de executat prin kituri de phishing precum Tycoon
Apariția modelului Phishing-as-a-Service, exemplificat de entități precum Tycoon Group, a redus semnificativ bariera de intrare pentru executarea de atacuri sofisticate de phishing, chiar și pentru criminalii mai puțin experimentați. Această accesibilitate este evidentă în creșterea atacurilor de phishing care utilizează astfel de servicii, după cum au observat cercetătorii. Ceea ce diferențiază Tycoon Group este încorporarea tehnologiei WebSocket în pagina de phishing, permițând o transmitere mai ușoară a datelor între browser și serverul atacatorului. În plus, această caracteristică simplifică gestionarea campaniei și supravegherea acreditărilor de phishing pentru actorii abonați.
