Tycoon Phishing Kit
Framväxten av Tycoon 2FA, ett nytt nätfiske-kit, har väckt betydande oro inom cybersäkerhetsgemenskapen. Marknadsförd som en del av Tycoon Groups Phishing-as-a-Service (PaaS) på Telegram, är den tillgänglig för så lite som $120. Bland dess nyckelfunktioner är förmågan att kringgå Microsofts tvåfaktorsautentisering, uppnå länkhastighet på toppnivå och använda Cloudflare för att kringgå antibotåtgärder, och därigenom säkerställa beständigheten hos oupptäckta nätfiske-länkar.
I mitten av oktober 2023 uppdaterades nätfiskepaketet, med cyberbrottslingar som lovade smidigare länk- och anslutningsoperationer. Denna uppdatering sammanföll med att WebSocket-tekniken integrerades i deras nätfiskesidor, vilket förbättrade kommunikationen från webbläsare till server för effektivare dataöverföring till aktörernas servrar.
I februari 2024 introducerade Tycoon Group en ny funktion riktad mot Gmail-användare, vilket gör det möjligt att kringgå tvåfaktorsautentisering. Den här utgåvan innehåller en Gmail-inloggningssida "Display" och Google Captcha, vilket breddar dess potentiella målgrupp bortom Microsoft 365-användare.
I en nyare uppdatering introducerade gruppen stöd för prenumeranter för att samla in Active Directory Federation Services (ADFS) cookies, specifikt inriktade på organisationers autentiseringsmekanismer som använder ADFS.
Innehållsförteckning
Tycoon Phishing Kit Infection Chain
Sekvensen av attackkedjan börjar med en vanlig nätfiskekampanj som utnyttjar betrodda domäner och molnbaserade tjänster för att dölja den verkliga måladressen för huvudmålsidan för nätfiske. Denna strategi innebär att utnyttja välrenommerade e-post- och marknadsföringstjänster online, nyhetsbrev eller dokumentdelningsplattformar som URL-omdirigerare eller värdar för lockbetedokument som innehåller länkar till den sista nätfiskesidan.
Omdirigeringen sker när du klickar på en länk i e-postmeddelandet, vilket leder antingen till ett lockbetedokument med en länk till den primära nätfiskesidan eller direkt till huvudmålsidan för nätfiske som underlättas av en omdirigering.
Huvudmålsidan för nätfiske består av två primära komponenter: ett 'index.php' PHP-skript som ansvarar för att ladda dess sekundära komponent, en '.JS'-fil med prefixet 'myscr'. Den senare komponentens roll är att generera HTML-koden för nätfiskesidan.
Tycoon Phishing-kampanjen kontrollerar om offren inte är bots
Det andra komponentskriptet använder olika fördunklingstekniker för att undvika robotsökrobotar och antispammotorer. En sådan metod innebär en lång rad tecken representerade som decimala heltal. Varje heltal omvandlas till tecken och sammanfogas sedan för att bilda HTML-källkoden för nätfiskesidan. Dessutom använder skriptet en obfuskeringsteknik som kallas ett "ogenomskinligt predikat", som introducerar redundant kod i programflödet för att dölja skriptets underliggande logik.
Till en början utför JavaScript förfiltrering med CloudFlare Turnstile-tjänsten för att verifiera att länken nås av en människa, vilket särskiljer den från automatiserade sökrobotar. Användare av denna Phishing-as-a-Service (PaaS) kan aktivera den här funktionen i adminpanelen och tillhandahålla CloudFlare-nycklar som är kopplade till deras konton. Denna integration ger också ytterligare mätvärden för nätfiskaren via CloudFlare-instrumentpanelen.
Efter lyckad verifiering laddar JavaScript en inloggningssida för förfalskning som är skräddarsydd för nätfisketema som valts av prenumeranten. Det kan till exempel efterlikna en Microsoft 365-inloggningssida.
Tycoon förser sina kunder med en Dashboard-kontroll
Tycoon Group PaaS erbjuder en adminpanel tillgänglig för prenumeranter eller hyresgäster, vilket ger dem möjlighet att logga in, skapa och övervaka kampanjer, samt övervaka nätfiskade autentiseringsuppgifter.
Användare kan ha tillgång till panelen under en viss period, beroende på deras prenumerationsnivå. Individer kan initiera nya kampanjer inom inställningssektionen, välja önskat nätfiske-tema och justera olika PaaS-funktioner. Dessutom kan prenumeranter övervaka nätfiskade autentiseringsuppgifter, inklusive användarnamn, lösenord och sessionscookies. Dessutom tillåter tjänsten abonnenter att vidarebefordra nätfiskeresultat till sina Telegram-konton.
Nätfiskeattacker blir enklare att utföra via nätfiskepaket som Tycoon
Framväxten av Phishing-as-a-Service-modellen, exemplifierad av enheter som Tycoon Group, har avsevärt sänkt inträdesbarriären för att utföra sofistikerade nätfiskeattacker, även för mindre erfarna brottslingar. Denna tillgänglighet är uppenbar i ökningen av nätfiskeattacker som använder sådana tjänster, vilket forskare noterat. Det som skiljer Tycoon Group från är dess inkorporering av WebSocket-tekniken i nätfiskesidan, vilket möjliggör smidigare dataöverföring mellan webbläsaren och angriparens server. Dessutom förenklar den här funktionen kampanjhantering och övervakning av nätfiskade autentiseringsuppgifter för prenumererade aktörer.
