Tycoon Phishing Kit
Поява Tycoon 2FA, нового набору для фішингу, викликала серйозне занепокоєння серед спільноти кібербезпеки. Продається як частина Phishing-as-a-Service (PaaS) Tycoon Group у Telegram і доступна всього за 120 доларів США. Серед його ключових особливостей можна назвати можливості обходу двофакторної аутентифікації Microsoft, досягнення швидкості з’єднання верхнього рівня та використання Cloudflare для обходу антиботів, забезпечуючи таким чином стійкість невиявлених фішингових посилань.
У середині жовтня 2023 року набір для фішингу було оновлено, і кіберзлочинці пообіцяли більш плавну роботу посилань і вкладень. Це оновлення співпало з інтеграцією технології WebSocket у їхні фішингові сторінки, покращивши зв’язок між браузером і сервером для більш ефективної передачі даних на сервери учасників.
У лютому 2024 року Tycoon Group представила нову функцію, націлену на користувачів Gmail, яка дозволяє обходити двофакторну автентифікацію. Цей випуск включає сторінку входу Gmail «Display» і Google Captcha, розширюючи потенційну цільову аудиторію за межі користувачів Microsoft 365.
У останньому оновленні група запровадила підтримку для передплатників збору файлів cookie служб об’єднання Active Directory (ADFS), зокрема для механізмів автентифікації організацій, які використовують ADFS.
Зміст
Ланцюжок зараження Tycoon Phishing Kit
Послідовність атаки починається зі стандартної фішингової кампанії, яка використовує довірені домени та хмарні служби, щоб приховати справжню цільову URL-адресу головної фішингової цільової сторінки. Ця стратегія передбачає використання авторитетних онлайн-поштових і маркетингових служб, інформаційних бюлетенів або платформ обміну документами як перенаправлення URL-адрес або хостів для документів-приманок, що містять посилання на останню сторінку фішингу.
Переспрямування відбувається після натискання посилання в електронному листі, що веде або до документа-приманки з посиланням на основну фішингову сторінку, або безпосередньо до головної фішингової цільової сторінки, створеної за допомогою переадресатора.
Головна фішингова цільова сторінка складається з двох основних компонентів: сценарію PHP «index.php», який відповідає за завантаження вторинного компонента, а також файлу «.JS» із префіксом «myscr». Роль останнього компонента полягає у створенні HTML-коду для фішингової сторінки.
Фішингова кампанія Tycoon перевіряє, чи жертви не є ботами
Сценарій другого компонента використовує різні методи обфускації, щоб уникнути сканерів ботів і механізмів захисту від спаму. Один із таких методів передбачає довгий масив символів, представлених у вигляді десяткових цілих чисел. Кожне ціле число перетворюється на символи, а потім об’єднується у вихідний HTML-код фішингової сторінки. Крім того, сценарій використовує техніку обфускації, відому як «непрозорий предикат», вводячи надлишковий код у програмний потік, щоб приховати основну логіку сценарію.
Спочатку JavaScript виконує попередню фільтрацію за допомогою служби CloudFlare Turnstile, щоб перевірити, чи доступ до посилання має людина, відрізняючи його від автоматизованих сканерів-ботів. Користувачі цього Phishing-as-a-Service (PaaS) можуть активувати цю функцію на панелі адміністратора та надати ключі CloudFlare, пов’язані з їхніми обліковими записами. Ця інтеграція також надає додаткові показники для фішерів через інформаційну панель CloudFlare.
Після успішної перевірки JavaScript завантажує підроблену сторінку входу, адаптовану до теми фішингу, вибраної підписником. Наприклад, він може імітувати сторінку входу Microsoft 365.
Tycoon надає своїм клієнтам контрольну панель приладів
Tycoon Group PaaS пропонує панель адміністратора, доступну для передплатників або орендарів, надаючи їм можливість входити в систему, створювати та контролювати кампанії, а також контролювати підроблені облікові дані.
Користувачі можуть мати доступ до панелі протягом встановленого періоду, залежно від рівня підписки. Окремі особи можуть ініціювати нові кампанії в розділі налаштувань, вибираючи бажану тему фішингу та налаштовуючи різні функції PaaS. Крім того, передплатники можуть контролювати підроблені облікові дані, включаючи імена користувачів, паролі та сеансові файли cookie. Крім того, сервіс дозволяє підписникам пересилати результати фішингу на свої облікові записи Telegram.
Фішингові атаки стає легше здійснити за допомогою наборів для фішингу, таких як Tycoon
Поява моделі «Фішинг як послуга», прикладом якої є такі організації, як Tycoon Group, значно знизила бар’єр для здійснення складних фішингових атак навіть для менш досвідчених злочинців. Як відзначають дослідники, ця доступність очевидна у сплеску фішингових атак з використанням таких сервісів. Що відрізняє Tycoon Group від інших, так це використання технології WebSocket у фішинговій сторінці, що забезпечує плавну передачу даних між браузером і сервером зловмисника. Крім того, ця функція спрощує керування кампанією та нагляд за підробленими обліковими даними для підписаних учасників.
