Tycoon Phishing Kit
Появление Tycoon 2FA, нового набора для фишинга, вызвало серьезную обеспокоенность в сообществе кибербезопасности. Продаваемый в рамках программы «Фишинг как услуга» (PaaS) Tycoon Group в Telegram, он доступен всего за 120 долларов. Среди его ключевых особенностей — возможность обходить двухфакторную аутентификацию Microsoft, достигать максимальной скорости соединения и использовать Cloudflare для обхода мер защиты от ботов, обеспечивая тем самым сохранение необнаруженных фишинговых ссылок.
В середине октября 2023 года фишинговый комплект был обновлен, и киберпреступники пообещали более плавные операции со ссылками и вложениями. Это обновление совпало с интеграцией технологии WebSocket в их фишинговые страницы, улучшающей связь между браузером и сервером для более эффективной передачи данных на серверы злоумышленников.
К февралю 2024 года Tycoon Group представила новую функцию, ориентированную на пользователей Gmail, позволяющую обходить двухфакторную аутентификацию. Этот выпуск включает в себя страницу входа в Gmail «Display» и Google Captcha, что расширяет потенциальную целевую аудиторию за пределы пользователей Microsoft 365.
В более недавнем обновлении группа представила поддержку подписчикам для сбора файлов cookie служб федерации Active Directory (ADFS), в частности, для механизмов аутентификации организаций, использующих ADFS.
Оглавление
Цепочка заражения набором фишинга Tycoon
Цепочка атак начинается со стандартной фишинговой кампании, в которой используются доверенные домены и облачные сервисы для сокрытия истинного целевого URL-адреса основной фишинговой целевой страницы. Эта стратегия предполагает использование авторитетных онлайн-почтовых и маркетинговых служб, информационных бюллетеней или платформ для обмена документами в качестве перенаправления URL-адресов или хостов для ложных документов, содержащих ссылки на конечную фишинговую страницу.
Перенаправление происходит при нажатии на ссылку в электронном письме, что приводит либо к фиктивному документу со ссылкой на основную фишинговую страницу, либо непосредственно к основной фишинговой целевой странице, созданной с помощью перенаправления.
Основная фишинговая целевая страница состоит из двух основных компонентов: PHP-скрипт index.php, отвечающий за загрузку вторичного компонента, и файла .JS с префиксом myscr. Роль последнего компонента заключается в создании HTML-кода для фишинговой страницы.
Фишинговая кампания Tycoon проверяет, не являются ли жертвы ботами
Второй компонент сценария использует различные методы обфускации, чтобы обойти сканеры-боты и механизмы защиты от спама. Один из таких методов предполагает использование длинного массива символов, представленного в виде десятичных целых чисел. Каждое целое число преобразуется в символы, а затем объединяется для формирования исходного HTML-кода фишинговой страницы. Кроме того, в сценарии используется метод запутывания, известный как «непрозрачный предикат», который вводит избыточный код в поток программы, чтобы скрыть основную логику сценария.
Первоначально JavaScript выполняет предварительную фильтрацию с использованием службы CloudFlare Turnstile, чтобы убедиться, что ссылка доступна человеку, что отличает ее от автоматических роботов-сканеров. Пользователи этого фишинга как услуги (PaaS) могут активировать эту функцию в панели администратора и предоставить ключи CloudFlare, связанные с их учетными записями. Эта интеграция также предоставляет фишеру дополнительные показатели через панель управления CloudFlare.
После успешной проверки JavaScript загружает поддельную страницу входа, адаптированную к фишинговой теме, выбранной подписчиком. Например, он может имитировать страницу входа в Microsoft 365.
Tycoon предоставляет своим клиентам панель управления
Tycoon Group PaaS предлагает панель администратора, доступную подписчикам или арендаторам, предоставляющую им возможность входить в систему, создавать и отслеживать кампании, а также контролировать фишинговые учетные данные.
Пользователи могут иметь доступ к панели в течение определенного периода, в зависимости от уровня подписки. Люди могут инициировать новые кампании в разделе настроек, выбирая предпочтительную тему фишинга и настраивая различные функции PaaS. Кроме того, подписчики могут контролировать фишинговые учетные данные, включая имена пользователей, пароли и файлы cookie сеанса. Кроме того, сервис позволяет подписчикам пересылать результаты фишинга на свои учетные записи Telegram.
Фишинговые атаки становится проще осуществлять с помощью фишинговых наборов, таких как Tycoon
Появление модели «Фишинг как услуга», примером которой являются такие организации, как Tycoon Group, значительно снизило барьер для входа в систему для проведения сложных фишинговых атак даже для менее опытных преступников. Как отмечают исследователи, эта доступность проявляется в росте фишинговых атак с использованием таких сервисов. Что отличает Tycoon Group, так это включение технологии WebSocket в фишинговую страницу, что обеспечивает более плавную передачу данных между браузером и сервером злоумышленника. Более того, эта функция упрощает управление кампанией и контроль фишинговых учетных данных подписанных участников.
