Cibercriminosos têm usado cada vez mais uma nova plataforma de phishing-as-a-service (PhaaS) chamada 'Tycoon 2FA' para atacar contas do Microsoft 365 e Gmail e contornar a proteção de autenticação de dois fatores (2FA).
Tycoon 2FA foi descoberto pelos analistas da Sekoia em outubro de 2023 durante uma busca rotineira de ameaças, mas tem estado ativo desde pelo menos agosto de 2023, quando o grupo Saad Tycoon ofereceu-o através de canais privados no Telegram.
O kit PhaaS compartilha semelhanças com outras plataformas adversárias intermediárias (AitM), como o Dadsec OTT, sugerindo possível reutilização de código ou uma colaboração entre os desenvolvedores.
Em 2024, Tycoon 2FA lançou uma nova versão mais furtiva, indicando um esforço contínuo para melhorar o kit.
Atualmente, o serviço aproveita 1.100 domínios e tem sido observado em milhares de ataques de phishing.
Os ataques do Tycoon 2FA envolvem um processo de várias etapas em que o ator da ameaça rouba cookies de sessão usando um servidor proxy reverso que hospeda a página de phishing, interceptando as informações do usuário e encaminhando-as para o serviço legítimo.
"Uma vez que o usuário conclui o desafio do MFA e a autenticação é bem-sucedida, o servidor intermediário captura os cookies da sessão", explica a Sekoia.
Dessa forma, o atacante pode reproduzir uma sessão do usuário e contornar os mecanismos de autenticação de múltiplos fatores (MFA).
O relatório da Sekoia descreve os ataques em sete etapas distintas, conforme descrito abaixo:
Etapa 0 – Os invasores distribuem links maliciosos através de e-mails com URLs ou códigos QR embutidos, enganando as vítimas a acessar páginas de phishing.
Etapa 1 – Um desafio de segurança (Cloudflare Turnstile) filtra os bots, permitindo apenas interações humanas para prosseguir para o site enganoso de phishing.
Etapa 2 – Scripts em segundo plano extraem o e-mail da vítima da URL para personalizar o ataque de phishing.
Etapa 3 – Os usuários são silenciosamente redirecionados para outra parte do site de phishing, movendo-os mais perto da página falsa de login.
Etapa 4 – Esta etapa apresenta uma página falsa de login do Microsoft para roubar credenciais, usando WebSockets para a exfiltração de dados.
Etapa 5 – O kit imita um desafio de 2FA, interceptando o token de 2FA ou resposta para contornar as medidas de segurança.
Etapa 6 – Finalmente, as vítimas são direcionadas a uma página com aparência legítima, obscurecendo o sucesso do ataque de phishing.
Uma visão geral do ataque é descrita no diagrama abaixo, que inclui todas as etapas do processo.
A Sekoia relata que a versão mais recente do kit de phishing Tycoon 2FA, lançada este ano, introduziu modificações significativas que melhoram as capacidades de phishing e evasão.
As principais mudanças incluem atualizações no código JavaScript e HTML, alterações na ordem de recuperação de recursos e filtragem mais extensa para bloquear o tráfego de bots e ferramentas analíticas.
Por exemplo, o kit agora retarda o carregamento de recursos maliciosos até que o desafio do Cloudflare Turnstile seja resolvido, usando nomes pseudorandom para URLs para obscurecer suas atividades.
Além disso, o tráfego da rede Tor ou endereços IP vinculados a data centers são agora melhor identificados, enquanto o tráfego é rejeitado com base em strings específicas do user-agent.
Em relação à escala das operações, Sekoia relata que é substancial, pois há evidências de uma ampla base de usuários de cibercriminosos atualmente utilizando o Tycoon 2FA para operações de phishing.
A carteira de Bitcoin vinculada aos operadores registrou mais de 1.800 transações desde outubro de 2019, com um aumento notável começando em agosto de 2023, quando o kit foi lançado.
Mais de 530 transações foram de mais de $120, que é o preço de entrada para um link de phishing de 10 dias.
Até meados de março de 2024, a carteira dos atores da ameaça havia recebido um total de $394.015 em criptomoeda.
Tycoon 2FA é apenas uma adição recente a um espaço de PhaaS que já oferece muitas opções para cibercriminosos.
Outras plataformas notáveis que podem contornar proteções de 2FA incluem LabHost, Greatness e Robin Banks.
Para uma lista dos indicadores de compromisso (IoCs) vinculados à operação Tycoon 2FA, a Sekoia disponibiliza um repositório com mais de 50 entradas.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...