Sponzorizat de newsflash.ro
infractorii cibernetici își perfecționează constant metodele pentru a pătrunde în barierile de securitate ale celor mai populare servicii online. O nouă platformă de phishing-as-a-service (PhaaS), cunoscută sub numele de „Tycoon 2FA”, a fost identificată ca fiind un vector principal de atac împotriva conturilor Microsoft 365 și Gmail, chiar și în prezența protecției cu autentificare în doi factori (2FA).
Descoperită în octombrie 2023 de analiștii Sekoia, această platformă demonstrează o evoluție alarmantă în lumea cyber-infracționalității. Tycoon 2FA este operațională cel puțin din august 2023 și a fost promovată prin canale private de Telegram de către grupul Saad Tycoon. Acest kit PhaaS prezintă similitudini cu alte platforme adversare în mijloc (AitM), cum ar fi Dadsec OTT, sugerând o posibilă colaborare între dezvoltatori sau reutilizare a codului.
O versiune îmbunătățită și mai discretă a Tycoon 2FA a fost lansată în 2024, demonstrând eforturile continue ale dezvoltatorilor de a spori eficacitatea și evazivitatea acestui kit de phishing. Serviciul se mândrește acum cu peste 1.100 de domenii și a fost implicat în mii de atacuri de phishing, cu un impact semnificativ asupra securității online.
Mecanismul de atac al Tycoon 2FA este sofisticat, implicând un proces în mai mulți pași prin care cookie-urile de sesiune ale victimelor sunt furate folosind un server proxy invers. Acesta interceptează informațiile introduse de victime pe o pagină de phishing și le transmite serviciului legitim, permițând astfel atacatorului să reproduză sesiunea utilizatorului și să ocolească mecanismele de autentificare multifactor (MFA).
Raportul Sekoia detaliază un proces de atac în șapte etape, începând cu distribuirea link-urilor rău intenționate și culminând cu direcționarea victimelor către o pagină care ascunde succesul atacului de phishing. Această secvență de evenimente subliniază abilitatea Tycoon 2FA de a imita cu fidelitate procedurile de autentificare ale serviciilor vizate, inclusiv provocările 2FA.
Modificările introduse în cea mai recentă versiune a Tycoon 2FA accentuează îmbunătățirile în codul JavaScript și HTML, optimizările în ordinea de recuperare a resurselor și strategii mai sofisticate de filtrare pentru a evita detecția de către roboți și instrumentele analitice. Aceste tactici includ întârzierea încărcării resurselor rău intenționate și folosirea numelor pseudoaleatoare pentru adresele URL, complicând astfel eforturile de contracarare.
Operațiunile Tycoon 2FA au o amploare considerabilă, cu peste 1.800 de tranzacții înregistrate în portofelul Bitcoin asociat, subliniind o creștere notabilă în utilizare și o bază largă de utilizatori criminali cibernetici. Sekoia a pus la dispoziție un depozit cu peste 50 de indicatori de compromis (IoC) pentru a ajuta în identificarea și combaterea acestei amenințări.
newsflash.ro
Citeste continuarea pe www.idevice.ro