Tycoon Phishing Kit
Yeni bir kimlik avı kiti olan Tycoon 2FA'nın ortaya çıkışı, siber güvenlik camiasında önemli endişelere yol açtı. Tycoon Group'un Telegram'da Hizmet Olarak Kimlik Avı (PaaS) kapsamında pazarlanan bu ürün, 120 $ gibi düşük bir fiyatla satışa sunuluyor. Temel özellikleri arasında Microsoft'un iki faktörlü kimlik doğrulamasını atlama, üst düzey bağlantı hızına ulaşma ve antibot önlemlerini atlatmak için Cloudflare'i kullanma ve böylece tespit edilemeyen kimlik avı bağlantılarının kalıcılığını sağlama yetenekleri yer alıyor.
Ekim 2023'ün ortasında, kimlik avı kiti güncellendi ve siber suçlular daha sorunsuz bağlantı ve ekleme işlemleri vaat etti. Bu güncelleme, WebSocket teknolojisinin kimlik avı sayfalarına entegre edilmesiyle aynı zamana denk geldi ve aktörlerin sunucularına daha verimli veri iletimi için tarayıcıdan sunucuya iletişimi geliştirdi.
Şubat 2024 itibarıyla Tycoon Group, Gmail kullanıcılarını hedefleyen ve iki faktörlü kimlik doğrulamanın atlanmasına olanak tanıyan yeni bir özelliği kullanıma sundu. Bu sürüm, potansiyel hedef kitlesini Microsoft 365 kullanıcılarının ötesine genişleten bir Gmail 'Görüntü' giriş sayfası ve Google Captcha'yı içerir.
Daha yeni bir güncellemede grup, abonelerin Active Directory Federasyon Hizmetleri (ADFS) tanımlama bilgilerini toplamasına yönelik destek sunarak özellikle kuruluşların ADFS kullanan kimlik doğrulama mekanizmalarını hedef aldı.
İçindekiler
Tycoon Kimlik Avı Kiti Enfeksiyon Zinciri
Saldırı zinciri dizisi, ana kimlik avı açılış sayfasının gerçek hedef URL'sini gizlemek için güvenilir alanlardan ve bulut tabanlı hizmetlerden yararlanan standart bir kimlik avı kampanyasıyla başlar. Bu strateji, son kimlik avı sayfasına bağlantılar içeren sahte belgeler için URL yeniden yönlendiricileri veya barındırıcıları olarak saygın çevrimiçi posta ve pazarlama hizmetlerinden, haber bültenlerinden veya belge paylaşım platformlarından yararlanmayı gerektirir.
Yönlendirme, e-postadaki bir bağlantıya tıklandığında gerçekleşir ve bu bağlantı, birincil kimlik avı sayfasına bağlantı içeren sahte bir belgeye veya doğrudan bir yeniden yönlendirici tarafından kolaylaştırılan ana kimlik avı açılış sayfasına yönlendirir.
Kimlik avı ana açılış sayfası iki ana bileşenden oluşur: ikincil bileşeninin yüklenmesinden sorumlu bir 'index.php' PHP betiği ve 'myscr' ön eki olan bir '.JS' dosyası. İkinci bileşenin rolü kimlik avı sayfası için HTML kodunu oluşturmaktır.
Tycoon Kimlik Avı Kampanyası, Kurbanların Bot Olup Olmadığını Kontrol Ediyor
İkinci bileşen komut dosyası, bot tarayıcılarını ve antispam motorlarını atlatmak için çeşitli gizleme teknikleri kullanır. Böyle bir yöntem, ondalık tamsayılar olarak temsil edilen uzun bir karakter dizisini gerektirir. Her tam sayı, karakterlere dönüştürülür ve ardından kimlik avı sayfasının HTML kaynak kodunu oluşturmak üzere birleştirilir. Ek olarak, komut dosyası, 'opak yüklem' olarak bilinen bir gizleme tekniği kullanır ve komut dosyasının altında yatan mantığı gizlemek için program akışına gereksiz kod ekler.
Başlangıçta JavaScript, bağlantıya bir insan tarafından erişildiğini doğrulamak için CloudFlare Turnstile hizmetini kullanarak ön filtrelemeyi gerçekleştirir ve bu da onu otomatik bot tarayıcılarından ayırır. Bu Hizmet Olarak Kimlik Avı (PaaS) kullanıcıları, bu özelliği yönetici panelinde etkinleştirebilir ve hesaplarıyla ilişkili CloudFlare anahtarlarını sağlayabilir. Bu entegrasyon aynı zamanda kimlik avına yönelik CloudFlare kontrol paneli aracılığıyla ek ölçümler de sağlar.
Başarılı bir doğrulamanın ardından JavaScript, abonenin seçtiği kimlik avı temasına göre uyarlanmış bir sahte oturum açma sayfası yükler. Örneğin Microsoft 365 oturum açma sayfasını taklit edebilir.
Tycoon Müşterilerine Kontrol Paneli Kontrolü Sağlıyor
Tycoon Group PaaS, abonelerin veya kiracıların erişebileceği bir yönetici paneli sunarak onlara oturum açma, oluşturma ve kampanyaları izleme ve kimlik avı kimlik bilgilerini denetleme olanağı sağlar.
Kullanıcılar abonelik seviyelerine bağlı olarak belirli bir süre boyunca panele erişim sağlayabilirler. Bireyler, tercih ettikleri kimlik avı temasını seçerek ve çeşitli PaaS özelliklerini ayarlayarak ayarlar bölümünden yeni kampanyalar başlatabilirler. Ayrıca aboneler, kullanıcı adlarını, şifreleri ve oturum çerezlerini kapsayan kimlik avı kimlik bilgilerini denetleyebilir. Ayrıca hizmet, abonelerin kimlik avı sonuçlarını Telegram hesaplarına iletmesine olanak tanır.
Phishing Saldırılarının Yürütülmesi Tycoon Gibi Phishing Kitleri Yoluyla Kolaylaşıyor
Tycoon Group gibi kuruluşlar tarafından örneklenen Hizmet Olarak Kimlik Avı modelinin ortaya çıkışı, daha az deneyimli suçlular için bile karmaşık kimlik avı saldırıları gerçekleştirmeye yönelik giriş engelini önemli ölçüde azalttı. Bu erişilebilirlik, araştırmacıların da belirttiği gibi, bu tür hizmetleri kullanan kimlik avı saldırılarındaki artışta açıkça görülüyor. Tycoon Group'u diğerlerinden ayıran şey, WebSocket teknolojisini kimlik avı sayfasına dahil etmesi ve böylece tarayıcı ile saldırganın sunucusu arasında daha sorunsuz veri aktarımı sağlamasıdır. Üstelik bu özellik, abone olan aktörler için kampanya yönetimini ve kimlik avı kimlik bilgilerinin gözetimini basitleştirir.
