Tycoon Phishing Kit
L’emergere di Tycoon 2FA, un nuovo kit di phishing, ha suscitato notevoli preoccupazioni all’interno della comunità della sicurezza informatica. Commercializzato come parte del Phishing-as-a-Service (PaaS) del Tycoon Group su Telegram, è disponibile per soli 120 dollari. Tra le sue caratteristiche principali ci sono la capacità di aggirare l'autenticazione a due fattori di Microsoft, raggiungere una velocità di collegamento di massimo livello e utilizzare Cloudflare per aggirare le misure antibot, garantendo così la persistenza di collegamenti di phishing non rilevati.
A metà ottobre 2023 il kit di phishing è stato aggiornato e i criminali informatici hanno promesso operazioni di collegamento e allegato più fluide. Questo aggiornamento ha coinciso con l'integrazione della tecnologia WebSocket nelle loro pagine di phishing, migliorando la comunicazione tra browser e server per una trasmissione dei dati più efficiente ai server degli autori.
Entro febbraio 2024, il Tycoon Group ha introdotto una nuova funzionalità destinata agli utenti Gmail, consentendo di aggirare l'autenticazione a due fattori. Questa versione include una pagina di accesso "Display" di Gmail e Google Captcha, ampliando il suo potenziale pubblico di destinazione oltre gli utenti di Microsoft 365.
In un aggiornamento più recente, il gruppo ha introdotto il supporto per gli abbonati per la raccolta dei cookie Active Directory Federation Services (ADFS), mirando specificamente ai meccanismi di autenticazione delle organizzazioni che utilizzano ADFS.
Sommario
La catena di infezione del kit di phishing del magnate
La sequenza della catena di attacco inizia con una campagna di phishing standard che sfrutta domini affidabili e servizi basati su cloud per oscurare il vero URL di destinazione della principale pagina di destinazione del phishing. Questa strategia prevede l'utilizzo di servizi di marketing e posta online affidabili, newsletter o piattaforme di condivisione di documenti come reindirizzatori URL o host per documenti esca contenenti collegamenti alla pagina finale di phishing.
Il reindirizzamento avviene facendo clic su un collegamento nell'e-mail, che porta a un documento esca con un collegamento alla pagina di phishing principale o direttamente alla pagina di destinazione del phishing principale facilitata da un reindirizzamento.
La pagina di destinazione principale del phishing comprende due componenti principali: uno script PHP "index.php" responsabile del caricamento del suo componente secondario, un file ".JS" con il prefisso "myscr." Il ruolo di quest'ultimo componente è generare il codice HTML per la pagina di phishing.
La campagna di phishing dei Tycoon verifica se le vittime non sono bot
Lo script del secondo componente utilizza varie tecniche di offuscamento per eludere i bot crawler e i motori antispam. Uno di questi metodi prevede una lunga serie di caratteri rappresentati come numeri interi decimali. Ogni numero intero viene convertito in caratteri e quindi concatenato per formare il codice sorgente HTML della pagina di phishing. Inoltre, lo script utilizza una tecnica di offuscamento nota come "predicato opaco", introducendo codice ridondante nel flusso del programma per oscurare la logica sottostante dello script.
Inizialmente, JavaScript esegue il prefiltraggio utilizzando il servizio CloudFlare Turnstile per verificare che un essere umano acceda al collegamento, distinguendolo dai bot crawler automatizzati. Gli utenti di questo Phishing-as-a-Service (PaaS) possono attivare questa funzione nel pannello di amministrazione e fornire le chiavi CloudFlare associate ai propri account. Questa integrazione fornisce anche metriche aggiuntive per il phisher attraverso la dashboard di CloudFlare.
Una volta verificata con successo, JavaScript carica una pagina di accesso contraffatta personalizzata in base al tema di phishing scelto dall'abbonato. Ad esempio, potrebbe imitare una pagina di accesso di Microsoft 365.
Tycoon fornisce ai propri clienti un controllo dashboard
Il PaaS di Tycoon Group offre un pannello di amministrazione accessibile agli abbonati o agli affittuari, garantendo loro la possibilità di accedere, creare e monitorare le campagne, nonché di supervisionare le credenziali di phishing.
Gli utenti possono avere accesso al pannello per un periodo prestabilito, a seconda del livello di abbonamento. Gli individui possono avviare nuove campagne nella sezione delle impostazioni, scegliendo il tema di phishing preferito e regolando le varie funzionalità PaaS. Inoltre, gli abbonati possono monitorare le credenziali di phishing, compresi nomi utente, password e cookie di sessione. Inoltre, il servizio consente agli abbonati di inoltrare i risultati del phishing ai propri account Telegram.
Gli attacchi di phishing stanno diventando più facili da eseguire tramite kit di phishing come Tycoon
L’emergere del modello Phishing-as-a-Service, esemplificato da entità come il Tycoon Group, ha abbassato significativamente la barriera all’ingresso per l’esecuzione di sofisticati attacchi di phishing, anche per i criminali meno esperti. Questa accessibilità è evidente nell’ondata di attacchi di phishing che utilizzano tali servizi, come notato dai ricercatori. Ciò che distingue il Tycoon Group è l'integrazione della tecnologia WebSocket nella pagina di phishing, consentendo una trasmissione dei dati più fluida tra il browser e il server dell'aggressore. Inoltre, questa funzionalità semplifica la gestione delle campagne e il controllo delle credenziali di phishing per gli attori iscritti.
