Tycoon Phishing Kit
Pojav Tycoon 2FA, novega kompleta za lažno predstavljanje, je sprožil precejšnje pomisleke v skupnosti kibernetske varnosti. Trži se kot del Phishing-as-a-Service (PaaS) družbe Tycoon Group na Telegramu in je na voljo že za 120 USD. Med njegovimi ključnimi značilnostmi so zmožnosti za obhod Microsoftove dvofaktorske avtentikacije, doseganje hitrosti povezave na najvišji ravni in uporaba Cloudflareja za izogibanje protibotnim ukrepom, s čimer se zagotovi obstojnost nezaznanih povezav lažnega predstavljanja.
Sredi oktobra 2023 je bil komplet za lažno predstavljanje posodobljen, kibernetski kriminalci pa obljubljajo bolj gladke operacije povezav in prilog. Ta posodobitev je sovpadla z integracijo tehnologije WebSocket v njihove strani z lažnim predstavljanjem, kar je izboljšalo komunikacijo med brskalnikom in strežnikom za učinkovitejši prenos podatkov na strežnike akterjev.
Do februarja 2024 je skupina Tycoon predstavila novo funkcijo, namenjeno uporabnikom Gmaila, ki omogoča zaobiti dvostopenjsko avtentikacijo. Ta izdaja vključuje prijavno stran Gmail 'Display' in Google Captcha, s čimer razširi svojo potencialno ciljno publiko onkraj uporabnikov Microsoft 365.
V novejši posodobitvi je skupina uvedla podporo za naročnike za zbiranje piškotkov Active Directory Federation Services (ADFS), ki je posebej ciljala na mehanizme za preverjanje pristnosti organizacij, ki uporabljajo ADFS.
Kazalo
Veriga okužbe kompleta Tycoon Phishing Kit
Zaporedje verižnih napadov se začne s standardno lažno lažno kampanjo, ki izkorišča zaupanja vredne domene in storitve v oblaku, da zakrije pravi ciljni URL glavne lažne ciljne strani. Ta strategija vključuje uporabo uglednih spletnih poštnih in trženjskih storitev, glasil ali platform za skupno rabo dokumentov kot preusmerjevalcev URL-jev ali gostiteljev za lažne dokumente, ki vsebujejo povezave do končne lažne strani.
Preusmeritev se zgodi, ko kliknete povezavo v e-poštnem sporočilu, ki vodi do vabnega dokumenta s povezavo do primarne lažne strani ali neposredno na glavno ciljno lažno stran, ki jo omogoča preusmerjevalnik.
Glavna ciljna stran z lažnim predstavljanjem je sestavljena iz dveh primarnih komponent: PHP skripta 'index.php', ki je odgovoren za nalaganje njene sekundarne komponente, datoteke '.JS' s predpono 'myscr'. Vloga slednje komponente je ustvariti kodo HTML za stran z lažnim predstavljanjem.
Kampanja Tycoon Phishing preverja, ali žrtve niso roboti
Skript druge komponente uporablja različne tehnike zamegljevanja, da se izogne robotskim pajkom in mehanizmom za zaščito pred neželeno pošto. Ena taka metoda vključuje dolgotrajno niz znakov, predstavljenih kot decimalna cela števila. Vsako celo število se pretvori v znake in se nato združi v izvorno kodo HTML lažnega predstavljanja. Poleg tega skript uporablja tehniko zamegljevanja, znano kot "neprozoren predikat", ki v potek programa uvaja odvečno kodo, da zakrije osnovno logiko skripta.
Na začetku JavaScript izvede predhodno filtriranje s storitvijo CloudFlare Turnstile, da preveri, ali do povezave dostopa človek, kar jo razlikuje od avtomatiziranih robotskih pajkov. Uporabniki te storitve Phishing-as-a-Service (PaaS) lahko aktivirajo to funkcijo na skrbniški plošči in zagotovijo ključe CloudFlare, povezane z njihovimi računi. Ta integracija posreduje tudi dodatne meritve za phisher prek nadzorne plošče CloudFlare.
Po uspešnem preverjanju JavaScript naloži ponarejeno stran za prijavo, prilagojeno temi lažnega predstavljanja, ki jo je izbral naročnik. Lahko na primer posnema stran za prijavo Microsoft 365.
Tycoon svojim strankam nudi nadzor nadzorne plošče
Tycoon Group PaaS ponuja skrbniško ploščo, ki je dostopna naročnikom ali najemnikom, kar jim omogoča prijavo, ustvarjanje in spremljanje kampanj ter nadzor lažnih poverilnic.
Uporabniki imajo lahko dostop do plošče za določeno obdobje, odvisno od njihove ravni naročnine. Posamezniki lahko sprožijo nove kampanje v razdelku z nastavitvami, izberejo želeno temo lažnega predstavljanja in prilagodijo različne funkcije PaaS. Poleg tega lahko naročniki nadzorujejo ponarejene poverilnice, ki vključujejo uporabniška imena, gesla in sejne piškotke. Poleg tega storitev naročnikom omogoča posredovanje rezultatov lažnega predstavljanja na njihove račune Telegram.
Napade lažnega predstavljanja postaja vse lažje izvesti s kompleti za lažno predstavljanje, kot je Tycoon
Pojav modela Phishing-as-a-Service, ki ga ponazarjajo subjekti, kot je Tycoon Group, je znatno znižal vstopne ovire za izvajanje sofisticiranih napadov lažnega predstavljanja, tudi za manj izkušene kriminalce. Ta dostopnost je očitna v porastu lažnih napadov, ki uporabljajo takšne storitve, kot ugotavljajo raziskovalci. Tisto, kar loči skupino Tycoon Group, je njena vključitev tehnologije WebSocket v stran z lažnim predstavljanjem, ki omogoča bolj gladek prenos podatkov med brskalnikom in napadalčevim strežnikom. Poleg tega ta funkcija poenostavlja upravljanje kampanj in nadzor lažnih poverilnic za naročene igralce.
