网络犯罪分子越来越多地使用名为Tycoon 2FA的新网络钓鱼即服务 (PhaaS) 平台来瞄准 Microsoft 365 和 Gmail 帐户并绕过双因素身份验证 (2FA) 保护。
Tycoon 2FA 是 Sekoia 分析师于 2023 年 10 月在例行威胁搜寻过程中发现的,但它至少从 2023 年 8 月起就一直活跃,当时 Saad Tycoon 集团通过Telegram 渠道提供了它。
PhaaS 套件与其他中间对手 (AitM) 平台(例如 Dadsec OTT)有相似之处,这表明可能的代码重用或开发人员之间的协作。
2024 年,Tycoon 2FA 发布了更加隐蔽的新版本,表明其不断努力改进该套件。 目前,该服务利用 1,100 个域,并已在数千次网络钓鱼攻击中观察到。
Tycoon 2FA 攻击涉及一个多步骤过程,威胁行为者通过使用托管网络钓鱼网页的反向代理服务器窃取会话 cookie,该服务器拦截受害者的输入并将其转发到合法服务。
“一旦用户完成 MFA 质询并且身份验证成功,中间的服务器就会捕获会话 cookie,”Skoia 解释道。 这样,攻击者就可以重播用户的会话并绕过多重身份验证 (MFA) 机制。
Sekoia 的报告描述了七个不同阶段的攻击,如下所述:
- 第 0 阶段 – 攻击者通过嵌入 URL 或 QR 码的电子邮件分发恶意链接,诱骗受害者访问网络钓鱼页面。
- 第 1 阶段 – 安全挑战(Cloudflare Turnstile)过滤掉机器人,只允许人类交互进入欺骗性网络钓鱼网站。
- 第 2 阶段 – 后台脚本从 URL 中提取受害者的电子邮件以定制网络钓鱼攻击。
- 第 3 阶段 – 用户被悄悄重定向到网络钓鱼网站的另一部分,使他们更接近虚假登录页面。
- 第 4 阶段 – 此阶段呈现一个伪造的 Microsoft 登录页面,用于窃取凭据,使用 WebSocket 进行数据泄露。
- 第 5 阶段 – 该套件模仿 2FA 挑战,拦截 2FA 令牌或响应以绕过安全措施。
- 第 6 阶段 – 最后,受害者被引导至看似合法的页面,从而掩盖了网络钓鱼攻击的成功。
Sekoia 报告称,今年发布的 Tycoon 2FA 网络钓鱼工具包的最新版本进行了重大修改,提高了网络钓鱼和规避能力。主要更改包括 JavaScript 和 HTML 代码的更新、资源检索顺序的更改以及更广泛的过滤以阻止来自机器人和分析工具的流量。
例如,该工具包现在会延迟加载恶意资源,直到解决 Cloudflare Turnstile 挑战之后,使用 URL 的伪随机名称来掩盖其活动。
此外,现在可以更好地识别链接到数据中心的 Tor 网络流量或 IP 地址,同时根据特定的用户代理字符串拒绝流量。
Sekoia 报告称其规模相当大,因为有证据表明网络犯罪分子目前有广泛的用户群正在利用 Tycoon 2FA 进行网络钓鱼活动。
