Tycoon Phishing Kit

การเกิดขึ้นของ Tycoon 2FA ซึ่งเป็นชุดฟิชชิ่งตัวใหม่ ได้จุดประกายความกังวลอย่างมากในชุมชนความปลอดภัยทางไซเบอร์ วางตลาดโดยเป็นส่วนหนึ่งของ Phishing-as-a-Service (PaaS) ของ Tycoon Group บน Telegram โดยมีราคาเพียง 120 ดอลลาร์ คุณสมบัติหลักประการหนึ่ง ได้แก่ ความสามารถในการข้ามการตรวจสอบสิทธิ์แบบสองปัจจัยของ Microsoft บรรลุความเร็วลิงก์ระดับสูงสุด และใช้ Cloudflare เพื่อหลีกเลี่ยงมาตรการต่อต้านบอท ดังนั้นจึงรับประกันความคงอยู่ของลิงก์ฟิชชิ่งที่ตรวจไม่พบ

ในช่วงกลางเดือนตุลาคม 2023 ชุดฟิชชิ่งได้รับการอัปเดต โดยอาชญากรไซเบอร์มีแนวโน้มว่าการดำเนินการลิงก์และไฟล์แนบจะราบรื่นยิ่งขึ้น การอัปเดตนี้เกิดขึ้นพร้อมกับการผสานรวมเทคโนโลยี WebSocket เข้ากับหน้าฟิชชิ่ง ซึ่งปรับปรุงการสื่อสารระหว่างเบราว์เซอร์ถึงเซิร์ฟเวอร์เพื่อการส่งข้อมูลที่มีประสิทธิภาพมากขึ้นไปยังเซิร์ฟเวอร์ของนักแสดง

ภายในเดือนกุมภาพันธ์ 2024 Tycoon Group ได้เปิดตัวฟีเจอร์ใหม่ที่กำหนดเป้าหมายผู้ใช้ Gmail ซึ่งช่วยให้สามารถข้ามการตรวจสอบสิทธิ์แบบสองปัจจัยได้ รุ่นนี้มีหน้าเข้าสู่ระบบ 'ดิสเพลย์' ของ Gmail และ Google Captcha ซึ่งขยายกลุ่มเป้าหมายที่เป็นไปได้ให้กว้างกว่าผู้ใช้ Microsoft 365

ในการอัปเดตล่าสุด กลุ่มได้แนะนำการสนับสนุนสำหรับสมาชิกในการรวบรวมคุกกี้ Active Directory Federation Services (ADFS) โดยเฉพาะการกำหนดเป้าหมายกลไกการรับรองความถูกต้องขององค์กรที่ใช้ ADFS

ห่วงโซ่การติดเชื้อ Tycoon Phishing Kit

ลำดับลูกโซ่การโจมตีเริ่มต้นด้วยแคมเปญฟิชชิ่งมาตรฐานที่ใช้ประโยชน์จากโดเมนที่เชื่อถือได้และบริการบนคลาวด์เพื่อปิดบัง URL ปลายทางที่แท้จริงของหน้า Landing Page ของฟิชชิ่งหลัก กลยุทธ์นี้เกี่ยวข้องกับการใช้ประโยชน์จากบริการส่งไปรษณีย์ออนไลน์และบริการการตลาด จดหมายข่าว หรือแพลตฟอร์มการแบ่งปันเอกสารที่มีชื่อเสียง เป็นตัวเปลี่ยนเส้นทาง URL หรือโฮสต์สำหรับเอกสารล่อที่มีลิงก์ไปยังหน้าฟิชชิ่งสุดท้าย

การเปลี่ยนเส้นทางเกิดขึ้นเมื่อคลิกลิงก์ในอีเมล ซึ่งนำไปสู่เอกสารหลอกลวงที่มีลิงก์ไปยังหน้าฟิชชิ่งหลัก หรือไปยังหน้า Landing Page ของฟิชชิ่งหลักโดยตรงซึ่งอำนวยความสะดวกโดยตัวเปลี่ยนเส้นทาง

หน้า Landing Page ฟิชชิ่งหลักประกอบด้วยสององค์ประกอบหลัก: สคริปต์ PHP 'index.php' ที่รับผิดชอบในการโหลดส่วนประกอบรอง ไฟล์ '.JS' ที่ขึ้นต้นด้วย 'myscr' บทบาทขององค์ประกอบหลังคือการสร้างโค้ด HTML สำหรับหน้าฟิชชิ่ง

แคมเปญ Tycoon Phishing ตรวจสอบว่าเหยื่อไม่ใช่บอทหรือไม่

สคริปต์องค์ประกอบที่สองใช้เทคนิคการทำให้งงงวยต่างๆ เพื่อหลบเลี่ยงโปรแกรมรวบรวมข้อมูลบอทและกลไกป้องกันสแปม วิธีหนึ่งดังกล่าวต้องใช้อาร์เรย์ที่มีความยาวของอักขระที่แสดงเป็นจำนวนเต็มทศนิยม จำนวนเต็มแต่ละตัวจะถูกแปลงเป็นอักขระ จากนั้นจึงต่อเข้าด้วยกันเพื่อสร้างซอร์สโค้ด HTML ของหน้าฟิชชิ่ง นอกจากนี้ สคริปต์ยังใช้เทคนิคการทำให้งงงวยที่เรียกว่า 'เพรดิเคตทึบแสง' โดยแนะนำโค้ดที่ซ้ำซ้อนในโฟลว์โปรแกรมเพื่อปิดบังตรรกะพื้นฐานของสคริปต์

ในตอนแรก JavaScript จะดำเนินการกรองล่วงหน้าโดยใช้บริการ CloudFlare Turnstile เพื่อตรวจสอบว่าลิงก์นั้นเข้าถึงได้โดยมนุษย์ โดยแยกความแตกต่างจากโปรแกรมรวบรวมข้อมูลบอทอัตโนมัติ ผู้ใช้ Phishing-as-a-Service (PaaS) นี้สามารถเปิดใช้งานคุณสมบัตินี้ได้ในแผงผู้ดูแลระบบและมอบคีย์ CloudFlare ที่เชื่อมโยงกับบัญชีของพวกเขา การบูรณาการนี้ยังให้การวัดเพิ่มเติมสำหรับฟิชเชอร์ผ่านแดชบอร์ด CloudFlare

เมื่อตรวจสอบสำเร็จแล้ว JavaScript จะโหลดหน้าลงชื่อเข้าใช้ปลอมที่ปรับแต่งให้เหมาะกับธีมฟิชชิ่งที่สมาชิกเลือก ตัวอย่างเช่น อาจเลียนแบบหน้าเข้าสู่ระบบ Microsoft 365

Tycoon มอบการควบคุมแดชบอร์ดให้กับลูกค้า

Tycoon Group PaaS นำเสนอแผงผู้ดูแลระบบที่เข้าถึงได้สำหรับสมาชิกหรือผู้เช่า ช่วยให้พวกเขาสามารถเข้าสู่ระบบ สร้าง และติดตามแคมเปญได้ รวมถึงดูแลข้อมูลประจำตัวที่ถูกฟิชชิ่ง

ผู้ใช้อาจสามารถเข้าถึงแผงควบคุมได้ในระยะเวลาที่กำหนด ขึ้นอยู่กับระดับการสมัครรับข้อมูล บุคคลทั่วไปสามารถเริ่มต้นแคมเปญใหม่ได้ในส่วนการตั้งค่า โดยเลือกธีมฟิชชิ่งที่ต้องการและปรับฟีเจอร์ PaaS ต่างๆ นอกจากนี้ สมาชิกยังสามารถดูแลข้อมูลรับรองฟิชชิ่ง ซึ่งรวมถึงชื่อผู้ใช้ รหัสผ่าน และคุกกี้เซสชัน นอกจากนี้ บริการนี้ยังอนุญาตให้สมาชิกส่งต่อผลลัพธ์ฟิชชิ่งไปยังบัญชี Telegram ของพวกเขาได้

การโจมตีแบบฟิชชิ่งกลายเป็นเรื่องง่ายยิ่งขึ้นในการดำเนินการผ่านชุดฟิชชิ่งเช่น Tycoon

การเกิดขึ้นของโมเดล Phishing-as-a-Service ซึ่งมีตัวอย่างโดยหน่วยงานอย่าง Tycoon Group ได้ลดอุปสรรคในการเข้าสู่การโจมตีแบบฟิชชิ่งที่ซับซ้อนลงอย่างมาก แม้แต่กับอาชญากรที่มีประสบการณ์น้อยก็ตาม การเข้าถึงนี้เห็นได้ชัดเจนจากการโจมตีแบบฟิชชิ่งที่ใช้บริการดังกล่าว ดังที่นักวิจัยระบุไว้ สิ่งที่ทำให้ Tycoon Group แตกต่างคือการนำเทคโนโลยี WebSocket มาใช้ในหน้าฟิชชิ่ง ช่วยให้การรับส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ของผู้โจมตีราบรื่นยิ่งขึ้น นอกจากนี้ ฟีเจอร์นี้ยังช่วยลดความยุ่งยากในการจัดการแคมเปญและการกำกับดูแลข้อมูลประจำตัวฟิชชิ่งสำหรับนักแสดงที่สมัครรับข้อมูล