Tycoon Phishing Kit
Vznik Tycoon 2FA, novej phishingovej súpravy, vyvolal v komunite kybernetickej bezpečnosti značné obavy. Predáva sa ako súčasť Phishing-as-a-Service (PaaS) skupiny Tycoon na Telegrame a je k dispozícii už za 120 dolárov. Medzi jeho kľúčové funkcie patrí schopnosť obísť dvojfaktorovú autentifikáciu spoločnosti Microsoft, dosiahnuť najvyššiu rýchlosť pripojenia a využiť Cloudflare na obchádzanie opatrení proti botom, čím sa zabezpečí pretrvávanie nezistených phishingových odkazov.
V polovici októbra 2023 bola aktualizovaná súprava na phishing, pričom kyberzločinci sľubovali plynulejšie operácie s odkazmi a prílohami. Táto aktualizácia sa zhodovala s integráciou technológie WebSocket do ich phishingových stránok, čím sa zlepšila komunikácia medzi prehliadačmi a servermi pre efektívnejší prenos údajov na servery aktérov.
Do februára 2024 skupina Tycoon predstavila novú funkciu zameranú na používateľov Gmailu, ktorá umožňuje obísť dvojfaktorové overenie. Toto vydanie obsahuje prihlasovaciu stránku Gmail „Zobraziť“ a Google Captcha, čím rozširuje svoje potenciálne cieľové publikum aj mimo používateľov Microsoft 365.
V najnovšej aktualizácii skupina zaviedla podporu pre predplatiteľov na zhromažďovanie súborov cookie služby ADFS (Active Directory Federation Services), konkrétne so zameraním na autentifikačné mechanizmy organizácií využívajúce ADFS.
Obsah
Infekčný reťazec Tycoon Phishing Kit
Sekvencia reťazca útokov začína štandardnou phishingovou kampaňou, ktorá využíva dôveryhodné domény a cloudové služby na zakrytie skutočnej cieľovej adresy URL hlavnej phishingovej vstupnej stránky. Táto stratégia zahŕňa využitie renomovaných online poštových a marketingových služieb, bulletinov alebo platforiem na zdieľanie dokumentov ako presmerovačov adries URL alebo hostiteľov pre návnadové dokumenty obsahujúce odkazy na poslednú phishingovú stránku.
K presmerovaniu dochádza po kliknutí na odkaz v e-maile, ktorý vedie buď na návnadu s odkazom na primárnu phishingovú stránku, alebo priamo na hlavnú phishingovú vstupnú stránku, ktorú umožňuje presmerovač.
Hlavná phishingová vstupná stránka pozostáva z dvoch primárnych komponentov: PHP skriptu „index.php“ zodpovedného za načítanie jeho sekundárneho komponentu, súboru „.JS“ s predponou „myscr“. Úlohou druhého komponentu je vygenerovať HTML kód pre phishingovú stránku.
Kampaň Tycoon Phishing kontroluje, či obete nie sú boti
Druhá zložka skriptu využíva rôzne techniky zahmlievania, aby sa vyhla robotovým prehľadávačom a antispamovým nástrojom. Jedna takáto metóda zahŕňa dlhé pole znakov reprezentovaných ako desiatkové celé čísla. Každé celé číslo prejde konverziou na znaky a potom sa zreťazí do zdrojového kódu HTML phishingovej stránky. Skript navyše využíva techniku zahmlievania známu ako „nepriehľadný predikát“, ktorá zavádza nadbytočný kód do toku programu, aby zakryla základnú logiku skriptu.
Spočiatku JavaScript vykonáva predbežné filtrovanie pomocou služby CloudFlare Turnstile, aby overil, či k odkazu pristupuje človek, čím sa odlišuje od automatizovaných robotov. Používatelia tejto služby Phishing-as-a-Service (PaaS) môžu aktivovať túto funkciu na paneli správcu a poskytnúť kľúče CloudFlare spojené s ich účtami. Táto integrácia tiež poskytuje ďalšie metriky pre phishera prostredníctvom ovládacieho panela CloudFlare.
Po úspešnom overení JavaScript načíta falošnú prihlasovaciu stránku prispôsobenú téme phishingu, ktorú si vybral predplatiteľ. Môže napríklad napodobňovať prihlasovaciu stránku Microsoft 365.
Tycoon poskytuje svojim klientom ovládanie ovládacieho panela
Tycoon Group PaaS ponúka administrátorský panel prístupný predplatiteľom alebo nájomcom, ktorý im poskytuje možnosť prihlásiť sa, vytvárať a monitorovať kampane, ako aj dohliadať na phishingové poverenia.
Používatelia môžu mať prístup k panelu počas nastaveného obdobia v závislosti od úrovne predplatného. Jednotlivci môžu iniciovať nové kampane v sekcii nastavení, vybrať si preferovanú tému phishingu a upraviť rôzne funkcie PaaS. Okrem toho môžu odberatelia dohliadať na phishingové poverenia, ktoré zahŕňajú používateľské mená, heslá a súbory cookie relácie. Okrem toho služba umožňuje predplatiteľom posielať výsledky phishingu na ich telegramové účty.
Phishingové útoky sa čoraz ľahšie vykonávajú prostredníctvom súprav na phishing ako Tycoon
Objavenie sa modelu Phishing-as-a-Service, ktorého príkladom sú subjekty ako Tycoon Group, výrazne znížilo bariéru vstupu pre vykonávanie sofistikovaných phishingových útokov, a to aj pre menej skúsených zločincov. Táto dostupnosť je evidentná v náraste phishingových útokov využívajúcich takéto služby, ako poznamenali výskumníci. To, čo odlišuje Tycoon Group, je začlenenie technológie WebSocket do phishingovej stránky, čo umožňuje plynulejší prenos dát medzi prehliadačom a serverom útočníka. Táto funkcia navyše zjednodušuje správu kampaní a dohľad nad phishingovými povereniami pre prihlásených aktérov.
