Tycoon Phishing Kit
Fremkomsten af Tycoon 2FA, et nyt phishing-kit, har udløst betydelige bekymringer i cybersikkerhedssamfundet. Markedsført som en del af Tycoon Groups Phishing-as-a-Service (PaaS) på Telegram, er den tilgængelig for så lidt som $120. Blandt dets nøglefunktioner er evnerne til at omgå Microsofts tofaktorautentificering, opnå linkhastighed på topniveau og bruge Cloudflare til at omgå antibot-foranstaltninger og derved sikre vedvarende uopdagede phishing-links.
I midten af oktober 2023 blev phishing-sættet opdateret, hvor cyberkriminelle lovede mere smidige link- og tilknytningsoperationer. Denne opdatering faldt sammen med integrationen af WebSocket-teknologien i deres phishing-sider, hvilket forbedrede browser-til-server-kommunikation for mere effektiv datatransmission til aktørernes servere.
I februar 2024 introducerede Tycoon Group en ny funktion rettet mod Gmail-brugere, der gør det muligt at omgå to-faktor-godkendelse. Denne udgivelse inkluderer en Gmail 'Display'-loginside og Google Captcha, der udvider dens potentielle målgruppe ud over Microsoft 365-brugere.
I en nyere opdatering introducerede gruppen støtte til abonnenter til at indsamle Active Directory Federation Services (ADFS) cookies, specifikt rettet mod organisationers godkendelsesmekanismer, der bruger ADFS.
Indholdsfortegnelse
Tycoon Phishing Kit Infection Chain
Angrebskædesekvensen begynder med en standard phishing-kampagne, der udnytter betroede domæner og cloud-baserede tjenester til at skjule den sande destinations-URL for den primære phishing-landingsside. Denne strategi indebærer udnyttelse af velrenommerede online mailer- og marketingtjenester, nyhedsbreve eller dokumentdelingsplatforme som URL-omdirigerere eller værter for lokkedokumenter, der indeholder links til den endelige phishing-side.
Omdirigeringen sker ved at klikke på et link i e-mailen, hvilket fører enten til et lokkedokument med et link til den primære phishing-side eller direkte til den primære phishing-destinationsside, der er faciliteret af en omdirigering.
Den primære phishing-destinationsside består af to primære komponenter: et 'index.php' PHP-script, der er ansvarligt for at indlæse dens sekundære komponent, en '.JS'-fil med præfikset 'myscr'. Sidstnævnte komponents rolle er at generere HTML-koden til phishing-siden.
Tycoon Phishing-kampagnen tjekker, om ofrene ikke er bots
Det andet komponentscript anvender forskellige sløringsteknikker for at undgå bot-crawlere og antispam-motorer. En sådan metode indebærer en lang række af tegn repræsenteret som decimaltal. Hvert heltal gennemgår konvertering til tegn og sammenkædes derefter for at danne HTML-kildekoden for phishing-siden. Derudover anvender scriptet en sløringsteknik kendt som et 'ugennemsigtigt prædikat', der introducerer redundant kode i programflowet for at skjule scriptets underliggende logik.
Indledningsvis udfører JavaScript forfiltrering ved hjælp af CloudFlare Turnstile-tjenesten for at verificere, at linket er tilgået af et menneske, hvilket adskiller det fra automatiserede bot-crawlere. Brugere af denne Phishing-as-a-Service (PaaS) kan aktivere denne funktion i administrationspanelet og give CloudFlare-nøgler forbundet med deres konti. Denne integration giver også yderligere metrics for phisheren gennem CloudFlare-dashboardet.
Efter vellykket bekræftelse indlæser JavaScript en forfalsket login-side, der er skræddersyet til det phishing-tema, som abonnenten har valgt. For eksempel kan det efterligne en Microsoft 365-loginside.
Tycoon forsyner sine kunder med en Dashboard-kontrol
Tycoon Group PaaS tilbyder et adminpanel, der er tilgængeligt for abonnenter eller lejere, hvilket giver dem mulighed for at logge ind, oprette og overvåge kampagner samt overvåge phished-legitimationsoplysninger.
Brugere kan have adgang til panelet i en bestemt periode, afhængigt af deres abonnementsniveau. Enkeltpersoner kan starte nye kampagner i indstillingssektionen, vælge det foretrukne phishing-tema og justere forskellige PaaS-funktioner. Derudover kan abonnenter overvåge phished-legitimationsoplysninger, der omfatter brugernavne, adgangskoder og sessionscookies. Ydermere tillader tjenesten abonnenter at videresende phishing-resultater til deres Telegram-konti.
Phishing-angreb bliver lettere at udføre via phishing-sæt som Tycoon
Fremkomsten af Phishing-as-a-Service-modellen, eksemplificeret ved enheder som Tycoon Group, har sænket adgangsbarrieren betydeligt for at udføre sofistikerede phishing-angreb, selv for mindre erfarne kriminelle. Denne tilgængelighed er tydelig i bølgen af phishing-angreb, der bruger sådanne tjenester, som bemærket af forskere. Det, der adskiller Tycoon Group, er dens inkorporering af WebSocket-teknologien i phishing-siden, hvilket muliggør en jævnere datatransmission mellem browseren og angriberens server. Desuden forenkler denne funktion kampagnestyring og overvågning af phished-legitimationsoplysninger for abonnerede skuespillere.
