Tycoon Phishing Kit
新型网络钓鱼工具包 Tycoon 2FA 的出现引起了网络安全界的极大担忧。作为 Tycoon Group 在 Telegram 上推出的网络钓鱼即服务 (PaaS) 的一部分,该工具包售价仅为 120 美元。其主要功能包括能够绕过 Microsoft 双因素身份验证、实现顶级链接速度以及利用 Cloudflare 绕过反机器人措施,从而确保未被发现的网络钓鱼链接的持久性。
2023 年 10 月中旬,该钓鱼工具包进行了更新,网络犯罪分子承诺提供更顺畅的链接和附件操作。此次更新恰逢将 WebSocket 技术集成到其钓鱼页面中,增强了浏览器到服务器的通信,以便更有效地将数据传输到攻击者的服务器。
到 2024 年 2 月,Tycoon Group 推出了一项针对 Gmail 用户的新功能,允许绕过双重身份验证。此版本包括 Gmail“显示”登录页面和 Google Captcha,将其潜在目标受众扩大到 Microsoft 365 用户之外。
在最近的更新中,该组织引入了对订阅者收集 Active Directory 联合身份验证服务 (ADFS) cookie 的支持,专门针对利用 ADFS 的组织的身份验证机制。
目录
Tycoon 网络钓鱼工具包感染链
攻击链序列始于标准的网络钓鱼活动,该活动利用受信任的域和基于云的服务来掩盖主要网络钓鱼登录页面的真实目标 URL。此策略需要利用信誉良好的在线邮件和营销服务、新闻通讯或文档共享平台作为 URL 重定向器或包含指向最终网络钓鱼页面的链接的诱饵文档的主机。
点击电子邮件中的链接就会发生重定向,用户要么被引导至一个带有主要网络钓鱼页面链接的诱饵文档,要么直接被引导至由重定向器提供的主要网络钓鱼登录页面。
主钓鱼登陆页面由两个主要组件组成:一个“index.php”PHP 脚本,负责加载其次要组件,一个以“myscr”为前缀的“.JS”文件。后者的作用是生成钓鱼页面的 HTML 代码。
Tycoon 网络钓鱼活动检查受害者是否不是机器人
第二个组件脚本采用各种混淆技术来躲避机器人爬虫和反垃圾邮件引擎。其中一种方法需要用十进制整数表示一个很长的字符数组。每个整数都转换为字符,然后连接起来形成钓鱼页面的 HTML 源代码。此外,该脚本还采用一种称为“不透明谓词”的混淆技术,将冗余代码引入程序流以掩盖脚本的底层逻辑。
最初,JavaScript 使用 CloudFlare Turnstile 服务进行预过滤,以验证该链接是否由人类访问,从而将其与自动机器人爬虫区分开来。此网络钓鱼即服务 (PaaS) 的用户可以在管理面板中激活此功能,并提供与其帐户关联的 CloudFlare 密钥。此集成还通过 CloudFlare 仪表板为网络钓鱼者提供额外的指标。
验证成功后,JavaScript 会加载针对订阅者选择的网络钓鱼主题定制的伪造登录页面。例如,它可能模仿 Microsoft 365 登录页面。
Tycoon 为其客户提供仪表板控件
Tycoon Group PaaS 为订阅者或租户提供了一个可访问的管理面板,使他们能够登录、创建和监控活动,以及监督网络钓鱼凭据。
用户可以在设定的时间内访问该面板,具体取决于他们的订阅级别。个人可以在设置部分发起新的活动,选择首选的网络钓鱼主题并调整各种 PaaS 功能。此外,订阅者可以监控网络钓鱼凭据,包括用户名、密码和会话 cookie。此外,该服务允许订阅者将网络钓鱼结果转发到他们的 Telegram 帐户。
通过 Tycoon 等网络钓鱼工具包执行网络钓鱼攻击变得更加容易
以 Tycoon Group 等实体为代表的网络钓鱼即服务模式的出现,大大降低了执行复杂网络钓鱼攻击的门槛,即使对于经验不足的犯罪分子来说也是如此。研究人员指出,利用此类服务的网络钓鱼攻击激增,这种可访问性显而易见。 Tycoon Group 的与众不同之处在于,它将 WebSocket 技术融入到钓鱼页面中,使浏览器和攻击者服务器之间的数据传输更加顺畅。此外,此功能还简化了活动管理和对订阅者的网络钓鱼凭据的监督。
