Tycoon Phishing Kit
新型網路釣魚工具 Tycoon 2FA 的出現引發了網路安全界的嚴重擔憂。它作為 Tycoon Group 網路釣魚即服務 (PaaS) 的一部分在 Telegram 上銷售,售價低至 120 美元。其主要功能包括能夠繞過 Microsoft 雙重認證、實現頂級連結速度以及利用 Cloudflare 規避反殭屍措施,從而確保未偵測到的網路釣魚連結的持久性。
2023 年 10 月中旬,網路釣魚工具包進行了更新,網路犯罪分子承諾連結和附件操作更加順暢。此次更新恰逢將 WebSocket 技術整合到他們的網路釣魚頁面中,增強了瀏覽器到伺服器的通信,以便更有效地將資料傳輸到攻擊者的伺服器。
到 2024 年 2 月,Tycoon Group 推出了一項針對 Gmail 用戶的新功能,允許繞過雙重認證。此版本包括 Gmail「顯示」登入頁面和 Google Captcha,將其潛在目標受眾擴展到 Microsoft 365 使用者之外。
在最近的更新中,該組織引入了對訂閱者收集 Active Directory 聯合服務 (ADFS) cookie 的支持,特別針對使用 ADFS 的組織的身份驗證機制。
目錄
Tycoon 網路釣魚套件感染鏈
攻擊鏈序列從標準網路釣魚活動開始,該活動利用受信任的網域和基於雲端的服務來掩蓋主要網路釣魚登入頁面的真實目標 URL。此策略需要利用信譽良好的線上郵件和行銷服務、時事通訊或文件共享平台作為包含最終網路釣魚頁面連結的誘餌文件的 URL 重定向器或主機。
點擊電子郵件中的連結時會發生重定向,從而導致具有指向主要網路釣魚頁面連結的誘餌文檔,或透過重定向器直接指向主要網路釣魚登入頁面。
主要的網路釣魚登陸頁麵包含兩個主要元件:負責載入其輔助元件的「index.php」PHP 腳本,以及前綴為「myscr」的「.JS」檔案。後者元件的作用是產生網路釣魚頁面的 HTML 程式碼。
大亨網路釣魚活動檢查受害者是否不是機器人
第二個組件腳本採用各種混淆技術來躲避機器人爬蟲和反垃圾郵件引擎。一種這樣的方法需要用十進制整數表示的長字元陣列。每個整數都會轉換為字符,然後連接起來形成釣魚頁面的 HTML 原始碼。此外,該腳本還採用了一種稱為「不透明謂詞」的混淆技術,將冗餘程式碼引入程式流中以模糊腳本的底層邏輯。
最初,JavaScript 使用 CloudFlare Turnstile 服務進行預過濾,以驗證該連結是否由人類訪問,從而將其與自動機器人爬蟲區分開來。此網路釣魚即服務 (PaaS) 的使用者可以在管理面板中啟動此功能,並提供與其帳戶關聯的 CloudFlare 金鑰。此整合還透過 CloudFlare 儀表板為網路釣魚者提供額外的指標。
驗證成功後,JavaScript 會載入訂閱者所選的網路釣魚主題所客製化的偽造登入頁面。例如,它可能模仿 Microsoft 365 登入頁面。
Tycoon 為其客戶提供儀表板控件
Tycoon Group PaaS 為訂閱者或租戶提供了一個管理面板,使他們能夠登入、建立和監控活動,以及監督網路釣魚憑證。
用戶可以在設定的時間內存取該面板,具體取決於他們的訂閱等級。個人可以在設定部分發起新的活動,選擇首選的網路釣魚主題並調整各種 PaaS 功能。此外,訂閱者可以監控網路釣魚憑證,包括使用者名稱、密碼和會話 cookie。此外,該服務允許訂閱者將網路釣魚結果轉發到他們的 Telegram 帳戶。
透過 Tycoon 等網路釣魚工具包執行網路釣魚攻擊變得更加容易
以 Tycoon Group 等實體為代表的網路釣魚即服務模式的出現,大大降低了執行複雜網路釣魚攻擊的門檻,即使對於經驗不足的犯罪分子來說也是如此。研究人員指出,利用此類服務的網路釣魚攻擊激增,這種可訪問性顯而易見。 Tycoon Group 的與眾不同之處在於,它將 WebSocket 技術融入釣魚頁面中,使瀏覽器和攻擊者伺服器之間的資料傳輸更加順暢。此外,此功能還簡化了活動管理和對訂閱者的網路釣魚憑證的監督。
