Tycoon Phishing Kit
Појава Тицоон 2ФА, новог комплета за крађу идентитета, изазвала је значајну забринутост у заједници сајбер безбедности. Продаје се као део Пхисхинг-ас-а-Сервице (ПааС) групе Тицоон на Телеграму, а доступан је за само 120 долара. Међу његовим кључним карактеристикама су могућности заобилажења двофакторске аутентификације компаније Мицрософт, постизање брзине везе највишег нивоа и коришћење Цлоудфларе-а да заобиђе мере против робота, чиме се обезбеђује постојаност неоткривених пхисхинг веза.
Средином октобра 2023. комплет за крађу идентитета је ажуриран, а сајбер-криминалци су обећавали глаткије операције повезивања и прилога. Ово ажурирање се поклопило са интеграцијом ВебСоцкет технологије у њихове пхисхинг странице, побољшавајући комуникацију између претраживача и сервера за ефикаснији пренос података до сервера актера.
До фебруара 2024. године, Тицоон Гроуп је увела нову функцију циљану на кориснике Гмаил-а, омогућавајући заобилажење двофакторске аутентификације. Ово издање укључује Гмаил 'Дисплаи' страницу за пријаву и Гоогле Цаптцха, проширујући потенцијалну циљну публику изван Мицрософт 365 корисника.
У новијем ажурирању, група је увела подршку за претплатнике за прикупљање колачића Ацтиве Дирецтори Федератион Сервицес (АДФС), посебно циљајући механизме за аутентификацију организација које користе АДФС.
Преглед садржаја
Tycoon Phishing Kit Инфецтион Цхаин
Секвенца ланца напада почиње стандардном пхисхинг кампањом која искоришћава поуздане домене и услуге засноване на облаку да би прикрила прави одредишни УРЛ главне одредишне странице за пхисхинг. Ова стратегија подразумева коришћење реномираних онлајн сервиса за слање поште и маркетинга, билтена или платформи за дељење докумената као преусмеривача УРЛ адреса или хостова за лажне документе који садрже везе до коначне пхисхинг странице.
Преусмеравање се дешава када се кликне на везу у е-поруци, што води или до документа за превару са везом до примарне пхисхинг странице или директно на главну одредишну страницу за пхисхинг уз помоћ преусмеривача.
Главна одредишна страница за пхисхинг садржи две примарне компоненте: ПХП скрипту 'индек.пхп' одговорну за учитавање њене секундарне компоненте, '.ЈС' датотеку са префиксом 'мисцр'. Улога последње компоненте је да генерише ХТМЛ код за пхисхинг страницу.
Тицоон Пхисхинг кампања проверава да ли жртве нису ботови
Скрипта друге компоненте користи различите технике замагљивања како би избегао роботе за индексирање и антиспам машине. Један такав метод подразумева дугачак низ знакова представљених као децимални цели бројеви. Сваки цео број се претвара у знакове, а затим се спаја да би се формирао ХТМЛ изворни код пхисхинг странице. Поред тога, скрипта користи технику замагљивања познату као 'непрозирни предикат', уводећи сувишни код у ток програма да би замаглио основну логику скрипте.
У почетку, ЈаваСцрипт спроводи предфилтрирање користећи услугу ЦлоудФларе Турнстиле да би проверио да ли човек приступа линку, што га разликује од аутоматизованих роботских претраживача. Корисници овог Пхисхинг-ас-а-Сервице (ПааС) могу да активирају ову функцију у административном панелу и обезбеде ЦлоудФларе кључеве повезане са њиховим налозима. Ова интеграција такође пружа додатне метрике за пхисхер преко ЦлоудФларе контролне табле.
Након успешне верификације, ЈаваСцрипт учитава лажну страницу за пријављивање прилагођену теми „пецања“ коју је изабрао претплатник. На пример, може да опонаша страницу за пријаву на Мицрософт 365.
Тицоон својим клијентима пружа контролу на контролној табли
Тицоон Гроуп ПааС нуди административни панел доступан претплатницима или изнајмљивачима, дајући им могућност да се пријаве, креирају и надгледају кампање, као и да надгледају лажне акредитиве.
Корисници могу имати приступ панелу током одређеног периода, у зависности од нивоа њихове претплате. Појединци могу покренути нове кампање у одељку подешавања, бирајући жељену тему за „пецање“ и прилагођавајући различите ПааС функције. Поред тога, претплатници могу да надгледају лажне акредитиве, укључујући корисничка имена, лозинке и колачиће сесије. Штавише, услуга омогућава претплатницима да проследе резултате пхисхинга на своје Телеграм налоге.
Напади пхисхинг-а постају лакши за извођење путем фишинг комплета као што је Тицоон
Појава модела Пхисхинг-ас-а-Сервице, чији су пример ентитети као што је Тицоон Гроуп, значајно је смањила баријеру уласку за извођење софистицираних пхисхинг напада, чак и за мање искусне криминалце. Ова приступачност је очигледна у порасту пхисхинг напада који користе такве услуге, као што су приметили истраживачи. Оно по чему се Тицоон Гроуп издваја је уградња ВебСоцкет технологије у пхисхинг страницу, омогућавајући лакши пренос података између претраживача и сервера нападача. Штавише, ова функција поједностављује управљање кампањом и надзор лажних акредитива за претплаћене актере.
