Tycoon Phishing Kit
Shfaqja e Tycoon 2FA, një komplet i ri phishing, ka shkaktuar shqetësime të rëndësishme brenda komunitetit të sigurisë kibernetike. I tregtuar si pjesë e Shërbimit Phishing-as-a-A-Service (PaaS) të Tycoon Group në Telegram, është në dispozicion për vetëm 120 dollarë. Ndër veçoritë kryesore të tij janë aftësitë për të anashkaluar vërtetimin me dy faktorë të Microsoft, për të arritur shpejtësinë e lidhjeve të nivelit të lartë dhe për të përdorur Cloudflare për të anashkaluar masat antibot, duke siguruar kështu vazhdimësinë e lidhjeve të pazbuluara të phishing.
Në mesin e tetorit 2023, kompleti i phishing u përditësua, me kriminelët kibernetikë që premtonin operacione më të buta lidhjesh dhe bashkëngjitjesh. Ky përditësim përkoi me integrimin e teknologjisë WebSocket në faqet e tyre të phishing, duke përmirësuar komunikimin shfletues me server për transmetim më efikas të të dhënave në serverët e aktorëve.
Deri në shkurt 2024, Tycoon Group prezantoi një veçori të re që synon përdoruesit e Gmail, duke lejuar anashkalimin e vërtetimit me dy faktorë. Ky version përfshin një faqe identifikimi të Gmail 'Display' dhe Google Captcha, duke zgjeruar audiencën e saj të synuar përtej përdoruesve të Microsoft 365.
Në një përditësim më të fundit, grupi prezantoi mbështetje për abonentët për të mbledhur kuki të Shërbimeve të Federatës Active Directory (ADFS), duke synuar veçanërisht mekanizmat e vërtetimit të organizatave që përdorin ADFS.
Tabela e Përmbajtjes
Zinxhiri i Infeksionit Tycoon Phishing Kit
Sekuenca e zinxhirit të sulmit fillon me një fushatë standarde phishing që shfrytëzon domenet e besuara dhe shërbimet e bazuara në renë kompjuterike për të errësuar URL-në e vërtetë të destinacionit të faqes kryesore të uljes së phishing. Kjo strategji përfshin shfrytëzimin e shërbimeve me reputacion të postimeve në internet dhe marketingut, buletineve ose platformave të ndarjes së dokumenteve si ridrejtues URL ose pritës për dokumentet e mashtrimit që përmbajnë lidhje në faqen përfundimtare të phishing.
Ridrejtimi ndodh kur klikoni një lidhje në email, duke çuar ose në një dokument mashtrimi me një lidhje në faqen kryesore të phishing ose drejtpërdrejt në faqen kryesore të uljes së phishing të lehtësuar nga një ridrejtues.
Faqja kryesore e uljes së phishing përbëhet nga dy komponentë kryesorë: një skript PHP 'index.php' përgjegjës për ngarkimin e komponentit të tij dytësor, një skedar '.JS' i prefiksuar me 'myscr'. Roli i komponentit të fundit është të gjenerojë kodin HTML për faqen e phishing.
Fushata Tycoon Phishing kontrollon nëse viktimat nuk janë robotë
Skripti i komponentit të dytë përdor teknika të ndryshme mjegullimi për të shmangur zvarritësit e robotëve dhe motorët antispam. Një metodë e tillë përfshin një grup të gjatë karakteresh të përfaqësuar si numra të plotë dhjetorë. Çdo numër i plotë i nënshtrohet konvertimit në karaktere dhe më pas lidhet për të formuar kodin burimor HTML të faqes së phishing. Për më tepër, skripti përdor një teknikë mjegullimi të njohur si 'kallëzues i errët', duke futur kode të tepërta në rrjedhën e programit për të errësuar logjikën themelore të skenarit.
Fillimisht, JavaScript kryen parafiltrimin duke përdorur shërbimin CloudFlare Turnstile për të verifikuar që lidhja aksesohet nga një person, duke e dalluar atë nga zvarritësit e automatizuar të robotëve. Përdoruesit e këtij shërbimi Phishing-as-a-Service (PaaS) mund ta aktivizojnë këtë veçori në panelin e administratorit dhe të ofrojnë çelësat CloudFlare të lidhur me llogaritë e tyre. Ky integrim gjithashtu siguron metrikë shtesë për phisher përmes panelit të kontrollit CloudFlare.
Pas verifikimit të suksesshëm, JavaScript ngarkon një faqe identifikimi të falsifikuar të përshtatur për temën e phishing të zgjedhur nga pajtimtari. Për shembull, mund të imitojë një faqe identifikimi në Microsoft 365.
Tycoon u ofron klientëve të tij një kontroll të panelit
Tycoon Group PaaS ofron një panel administratori të aksesueshëm për abonentët ose qiramarrësit, duke u dhënë atyre mundësinë për të hyrë, krijuar dhe monitoruar fushatat, si dhe të mbikëqyrin kredencialet e phished.
Përdoruesit mund të kenë akses në panel për një periudhë të caktuar, në varësi të nivelit të tyre të pajtimit. Individët mund të nisin fushata të reja brenda seksionit të cilësimeve, duke zgjedhur temën e preferuar të phishing dhe duke rregulluar veçori të ndryshme të PaaS. Për më tepër, abonentët mund të mbikëqyrin kredencialet e phished, duke përfshirë emrat e përdoruesve, fjalëkalimet dhe skedarët e sesionit. Për më tepër, shërbimi i lejon abonentët të përcjellin rezultatet e phishing në llogaritë e tyre në Telegram.
Sulmet e phishing po bëhen më të lehta për t’u ekzekutuar përmes kompleteve të phishing si Tycoon
Shfaqja e modelit Phishing-as-a-Service, i ilustruar nga entitete si Tycoon Group, ka ulur ndjeshëm pengesën e hyrjes për ekzekutimin e sulmeve të sofistikuara të phishing, madje edhe për kriminelët më pak me përvojë. Kjo qasje është e dukshme në rritjen e sulmeve të phishing duke përdorur shërbime të tilla, siç theksohet nga studiuesit. Ajo që e veçon Tycoon Group është inkorporimi i teknologjisë WebSocket në faqen e phishing, duke mundësuar një transmetim më të butë të të dhënave midis shfletuesit dhe serverit të sulmuesit. Për më tepër, kjo veçori thjeshton menaxhimin e fushatës dhe mbikëqyrjen e kredencialeve të mashtrimit për aktorët e abonuar.
