Tycoon Phishing Kit
Sự xuất hiện của Tycoon 2FA, một công cụ lừa đảo mới, đã gây ra những lo ngại đáng kể trong cộng đồng an ninh mạng. Được tiếp thị như một phần của Dịch vụ lừa đảo (PaaS) của Tycoon Group trên Telegram, nó có giá chỉ 120 USD. Trong số các tính năng chính của nó là khả năng vượt qua xác thực hai yếu tố của Microsoft, đạt tốc độ liên kết cấp cao nhất và sử dụng Cloudflare để phá vỡ các biện pháp chống bot, từ đó đảm bảo tính tồn tại của các liên kết lừa đảo không bị phát hiện.
Vào giữa tháng 10 năm 2023, bộ công cụ lừa đảo đã được cập nhật, tội phạm mạng hứa hẹn các hoạt động liên kết và đính kèm mượt mà hơn. Bản cập nhật này trùng hợp với việc tích hợp công nghệ WebSocket vào các trang lừa đảo của họ, tăng cường giao tiếp giữa trình duyệt với máy chủ để truyền dữ liệu hiệu quả hơn đến máy chủ của kẻ tấn công.
Đến tháng 2 năm 2024, Tycoon Group đã giới thiệu một tính năng mới nhắm mục tiêu đến người dùng Gmail, cho phép bỏ qua xác thực hai yếu tố. Bản phát hành này bao gồm trang đăng nhập 'Hiển thị' của Gmail và Google Captcha, mở rộng đối tượng mục tiêu tiềm năng của nó ra ngoài người dùng Microsoft 365.
Trong bản cập nhật gần đây hơn, nhóm đã giới thiệu hỗ trợ cho người đăng ký thu thập cookie Dịch vụ Liên kết Active Directory (ADFS), đặc biệt nhắm mục tiêu vào cơ chế xác thực của các tổ chức sử dụng ADFS.
Mục lục
Chuỗi lây nhiễm bộ công cụ lừa đảo Tycoon
Chuỗi chuỗi tấn công bắt đầu bằng một chiến dịch lừa đảo tiêu chuẩn khai thác các miền đáng tin cậy và dịch vụ dựa trên đám mây để che khuất URL đích thực sự của trang đích lừa đảo chính. Chiến lược này đòi hỏi phải tận dụng các dịch vụ tiếp thị và gửi thư trực tuyến có uy tín, bản tin hoặc nền tảng chia sẻ tài liệu làm công cụ chuyển hướng URL hoặc máy chủ lưu trữ cho các tài liệu giả có chứa liên kết đến trang lừa đảo cuối cùng.
Việc chuyển hướng xảy ra khi nhấp vào liên kết trong email, dẫn đến tài liệu giả mạo có liên kết đến trang lừa đảo chính hoặc trực tiếp đến trang đích lừa đảo chính được hỗ trợ bởi trình chuyển hướng.
Trang đích lừa đảo chính bao gồm hai thành phần chính: tập lệnh PHP 'index.php' chịu trách nhiệm tải thành phần phụ của nó, tệp '.JS' có tiền tố là 'myscr.' Vai trò của thành phần sau là tạo mã HTML cho trang lừa đảo.
Chiến dịch lừa đảo Tycoon kiểm tra xem nạn nhân có phải là bot không
Tập lệnh thành phần thứ hai sử dụng nhiều kỹ thuật che giấu khác nhau để trốn tránh trình thu thập dữ liệu bot và công cụ chống thư rác. Một phương pháp như vậy đòi hỏi một mảng dài các ký tự được biểu diễn dưới dạng số nguyên thập phân. Mỗi số nguyên trải qua quá trình chuyển đổi thành ký tự và sau đó được ghép nối để tạo thành mã nguồn HTML của trang lừa đảo. Ngoài ra, tập lệnh còn sử dụng một kỹ thuật làm xáo trộn được gọi là 'vị ngữ mờ', đưa mã dự phòng vào luồng chương trình để che khuất logic cơ bản của tập lệnh.
Ban đầu, JavaScript tiến hành lọc trước bằng dịch vụ CloudFlare Turnstile để xác minh rằng liên kết được con người truy cập, phân biệt nó với các trình thu thập dữ liệu bot tự động. Người dùng Lừa đảo dưới dạng dịch vụ (PaaS) này có thể kích hoạt tính năng này trong bảng quản trị và cung cấp khóa CloudFlare được liên kết với tài khoản của họ. Sự tích hợp này cũng cung cấp các số liệu bổ sung cho kẻ lừa đảo thông qua bảng điều khiển CloudFlare.
Sau khi xác minh thành công, JavaScript sẽ tải trang đăng nhập giả mạo được điều chỉnh theo chủ đề lừa đảo do người đăng ký chọn. Ví dụ: nó có thể bắt chước trang đăng nhập Microsoft 365.
Tycoon cung cấp cho khách hàng của mình khả năng kiểm soát bảng điều khiển
Tycoon Group PaaS cung cấp bảng quản trị mà người đăng ký hoặc người thuê có thể truy cập, cấp cho họ khả năng đăng nhập, tạo và giám sát các chiến dịch cũng như giám sát thông tin xác thực lừa đảo.
Người dùng có thể có quyền truy cập vào bảng điều khiển trong một khoảng thời gian nhất định, tùy thuộc vào cấp độ đăng ký của họ. Các cá nhân có thể bắt đầu các chiến dịch mới trong phần cài đặt, chọn chủ đề lừa đảo ưa thích và điều chỉnh các tính năng PaaS khác nhau. Ngoài ra, người đăng ký có thể giám sát thông tin xác thực lừa đảo, bao gồm tên người dùng, mật khẩu và cookie phiên. Hơn nữa, dịch vụ này cho phép người đăng ký chuyển tiếp kết quả lừa đảo đến tài khoản Telegram của họ.
Các cuộc tấn công lừa đảo đang trở nên dễ thực hiện hơn thông qua các công cụ lừa đảo như Tycoon
Sự xuất hiện của mô hình Lừa đảo dưới dạng dịch vụ, được minh họa bởi các tổ chức như Tycoon Group, đã hạ thấp đáng kể rào cản gia nhập để thực hiện các cuộc tấn công lừa đảo tinh vi, ngay cả đối với những tội phạm ít kinh nghiệm hơn. Theo các nhà nghiên cứu, khả năng tiếp cận này thể hiện rõ qua sự gia tăng các cuộc tấn công lừa đảo sử dụng các dịch vụ như vậy. Điều khiến Tycoon Group trở nên khác biệt là việc tích hợp công nghệ WebSocket vào trang lừa đảo, cho phép truyền dữ liệu mượt mà hơn giữa trình duyệt và máy chủ của kẻ tấn công. Hơn nữa, tính năng này giúp đơn giản hóa việc quản lý chiến dịch và giám sát thông tin xác thực lừa đảo đối với những kẻ đã đăng ký.
