Tycoon Phishing Kit
Ang paglitaw ng Tycoon 2FA, isang bagong phishing kit, ay nagdulot ng malalaking alalahanin sa loob ng komunidad ng cybersecurity. Ibinebenta bilang bahagi ng Phishing-as-a-Service (PaaS) ng Tycoon Group sa Telegram, available ito sa halagang kasing liit ng $120. Kabilang sa mga pangunahing tampok nito ay ang mga kakayahang i-bypass ang dalawang-factor na pagpapatotoo ng Microsoft, makamit ang pinakamataas na antas ng bilis ng link, at gamitin ang Cloudflare upang iwasan ang mga hakbang sa antibot, sa gayon ay matiyak ang pagpapatuloy ng mga hindi natukoy na link sa phishing.
Noong kalagitnaan ng Oktubre 2023, na-update ang phishing kit, kung saan ang mga cybercriminal ay nangangako ng mas maayos na operasyon ng link at attachment. Ang update na ito ay kasabay ng pagsasama ng teknolohiya ng WebSocket sa kanilang mga pahina ng phishing, pagpapahusay ng komunikasyon sa browser-to-server para sa mas mahusay na paghahatid ng data sa mga server ng mga aktor.
Noong Pebrero 2024, ipinakilala ng Tycoon Group ang isang bagong feature na nagta-target sa mga user ng Gmail, na nagbibigay-daan sa pag-bypass sa two-factor authentication. Kasama sa release na ito ang isang pahina sa pag-log in sa Gmail na 'Display' at Google Captcha, na nagpapalawak sa potensyal na target na audience nito nang higit pa sa mga user ng Microsoft 365.
Sa isang mas kamakailang update, ipinakilala ng grupo ang suporta para sa mga subscriber upang mangolekta ng cookies ng Active Directory Federation Services (ADFS), partikular na nagta-target sa mga mekanismo ng pagpapatunay ng mga organisasyon na gumagamit ng ADFS.
Talaan ng mga Nilalaman
Ang Tycoon Phishing Kit Infection Chain
Nagsisimula ang pagkakasunud-sunod ng chain ng pag-atake sa isang karaniwang kampanya sa phishing na nagsasamantala sa mga pinagkakatiwalaang domain at mga serbisyong nakabatay sa cloud upang takpan ang tunay na destination URL ng pangunahing landing page ng phishing. Ang diskarteng ito ay nangangailangan ng paggamit ng mga mapagkakatiwalaang online na mailer at mga serbisyo sa marketing, mga newsletter, o mga platform sa pagbabahagi ng dokumento bilang mga redirector ng URL o mga host para sa mga decoy na dokumento na naglalaman ng mga link sa huling pahina ng phishing.
Ang pag-redirect ay nangyayari sa pag-click sa isang link sa email, na humahantong sa alinman sa isang decoy na dokumento na may link sa pangunahing pahina ng phishing o direkta sa pangunahing landing page ng phishing na pinadali ng isang redirector.
Ang pangunahing landing page ng phishing ay binubuo ng dalawang pangunahing bahagi: isang 'index.php' PHP script na responsable para sa pag-load ng pangalawang bahagi nito, isang '.JS' na file na may prefix na 'myscr.' Ang tungkulin ng huling bahagi ay bumuo ng HTML code para sa pahina ng phishing.
Sinusuri ng Tycoon Phishing Campaign kung Hindi Mga Bot ang Mga Biktima
Gumagamit ang pangalawang bahagi ng script ng iba't ibang diskarte sa obfuscation upang maiwasan ang mga bot crawler at antispam engine. Ang isang ganoong paraan ay nangangailangan ng isang mahabang hanay ng mga character na kinakatawan bilang mga decimal integer. Ang bawat integer ay sumasailalim sa conversion sa mga character at pagkatapos ay pinagsama-sama upang mabuo ang HTML source code ng pahina ng phishing. Bukod pa rito, ang script ay gumagamit ng obfuscation technique na kilala bilang 'opaque predicate,' na nagpapapasok ng redundant code sa daloy ng programa upang takpan ang pinagbabatayan na logic ng script.
Sa una, ang JavaScript ay nagsasagawa ng prefiltering gamit ang serbisyo ng CloudFlare Turnstile upang i-verify na ang link ay ina-access ng isang tao, na nakikilala ito mula sa mga automated na bot crawler. Maaaring i-activate ng mga user ng Phishing-as-a-Service (PaaS) na ito ang feature na ito sa admin panel at magbigay ng mga CloudFlare key na nauugnay sa kanilang mga account. Ang pagsasamang ito ay nagbibigay din ng mga karagdagang sukatan para sa phisher sa pamamagitan ng CloudFlare dashboard.
Sa matagumpay na pag-verify, naglo-load ang JavaScript ng isang pekeng pahina sa pag-sign-in na iniayon sa tema ng phishing na pinili ng subscriber. Halimbawa, maaari itong gayahin ang isang pahina ng pag-log in sa Microsoft 365.
Nagbibigay ang Tycoon sa Mga Kliyente Nito ng Kontrol sa Dashboard
Nag-aalok ang Tycoon Group PaaS ng admin panel na naa-access ng mga subscriber o nangungupahan, na nagbibigay sa kanila ng kakayahang mag-log in, gumawa, at magmonitor ng mga campaign, pati na rin ang pangasiwaan ang mga phished na kredensyal.
Maaaring magkaroon ng access ang mga user sa panel para sa isang nakatakdang panahon, depende sa kanilang antas ng subscription. Ang mga indibidwal ay maaaring magpasimula ng mga bagong kampanya sa loob ng seksyon ng mga setting, pagpili ng gustong tema ng phishing at pagsasaayos ng iba't ibang feature ng PaaS. Bukod pa rito, maaaring pangasiwaan ng mga subscriber ang mga phished na kredensyal, na sumasaklaw sa mga username, password at cookies ng session. Higit pa rito, pinapayagan ng serbisyo ang mga subscriber na ipasa ang mga resulta ng phishing sa kanilang mga Telegram account.
Ang Mga Pag-atake sa Phishing ay Nagiging Mas Madaling Isagawa sa pamamagitan ng Mga Phishing Kit Tulad ng Tycoon
Ang paglitaw ng modelong Phishing-as-a-Service, na ipinakita ng mga entity tulad ng Tycoon Group, ay makabuluhang nagpababa sa hadlang sa pagpasok para sa pagsasagawa ng mga sopistikadong pag-atake sa phishing, kahit na para sa mga hindi gaanong karanasan na mga kriminal. Ang pagiging naa-access na ito ay makikita sa pag-atake ng phishing na gumagamit ng mga naturang serbisyo, gaya ng binanggit ng mga mananaliksik. Ang pinagkaiba ng Tycoon Group ay ang pagsasama nito ng teknolohiya ng WebSocket sa pahina ng phishing, na nagbibigay-daan sa mas maayos na paghahatid ng data sa pagitan ng browser at ng server ng umaatake. Bukod dito, pinapasimple ng feature na ito ang pamamahala ng campaign at pangangasiwa sa mga phished na kredensyal para sa mga naka-subscribe na aktor.
