Злоумышленники взламывают аккаунты Microsoft 365 и Gmail с помощью новой фишинговой платформы.
Киберпреступники все чаще применяют новую фишинговую платформу Tycoon 2FA для взлома учетных записей Microsoft 365 и Gmail, обходя при этом двухфакторную аутентификацию. Эту тенденцию выявили эксперты компании Sekoia .
Tycoon 2FA была обнаружена в октябре 2023 года, однако использовать ее злоумышленники начали еще в августе. Тогда хакерская группа Saad Tycoon стала предлагать свой продукт в закрытых Telegram-каналах. По сути сервис работает по модели «фишинг как услуга» (phishing-as-a-service), то есть предоставляется другим преступникам в аренду.
В 2024 году вышла новая, более скрытная версия Tycoon 2FA, что свидетельствует о постоянных усилиях разработчиков по ее совершенствованию. На данный момент сервис задействует 1100 доменов и был замечен в тысячах фишинговых атак.
Атаки с использованием Tycoon 2FA проходят в несколько этапов:
Преступники распространяют вредоносные ссылки или QR-коды по электронной почте (таким образом жертв заманивают на фишинговые сайты).
Платформа фильтрует ботов с помощью защитного механизма Cloudflare Turnstile, допускающего только реальных пользователей.
e-mail жертвы извлекается из URL для персонализации атаки.
Пользователя перенаправляют на другую фишинговую страницу.
На экране отображается поддельная страница входа в Microsoft-аккаунт для кражи учетных данных.
Платформа отображает поддельную страницу 2FA, чтобы перехватить одноразовый код и обойти двухфакторную аутентификацию.
Человека перенаправляют обратно на легитимный сайт, чтобы скрыть следы атаки.
По сведениям Sekoia, Tycoon 2FA имеет сходство с другими фишинговыми платформами вроде Dadsec OTT, что может указывать на повторное использование кода или сотрудничество между разработчиками.
Масштабы распространения Tycoon 2FA довольно внушительные: на криптокошелек операторов с октября 2019 года поступило свыше $394 тысяч в криптовалюте, причем значительный приток средств отмечен с августа 2023 года — момента запуска платформы. Только за первые 10 дней после релиза в августе хакеры получили более 530 транзакций на сумму свыше $120 каждая.
Аналитики утверждают, что последнюю версию Tycoon 2FA создатели неплохо усовершенствовали. Они изменили код на JavaScript и HTML, пересмотрели порядок загрузки ресурсов, а также усилили фильтрацию ботов.
К примеру, теперь вредоносные ресурсы загружаются только после успешного прохождения проверки Cloudflare Turnstile. Кроме того, для сокрытия своей активности злоумышленники используют псевдослучайные URL.
В новой версии Tycoon 2FA улучшились механизмы распознавания и блокировки трафика из анонимной сети Tor, а также с IP-адресов датацентров. Платформа стала блокировать определенные заголовки user-agent, которые могут использоваться средствами обнаружения.
От классики до авангарда — наука во всех жанрах