Platforma Phishing-as-a-service (PhaaS) Tycoon2FA este una dintre cele mai noi și mai sofisticate metode de atac, vizând în mod special sistemele de autentificare cu doi factori (2FA). Se remarcă prin capacitatea sa de a ocoli măsurile de securitate robuste, cum ar fi autentificarea cu doi factori.
Atacatorii încep prin a trimite victimei un e-mail de phishing, care îi solicită să facă clic pe un link rău intenționat. Acest link redirecționează victima către o pagină de conectare frauduloasă care imită perfect un serviciu legitim anunță BleepingComputer.
Odată ce victima își introduce acreditările, aceste informații sunt transmise în timp real atacatorilor, care le folosesc imediat pentru a se conecta la serviciul real. În această etapă, victima primește o cerere de autentificare cu doi factori. Considerând că este legitimă, furnizează codul 2FA, pe care atacatorii îl interceptează și îl folosesc pentru a accesa contul-țintă.
Tycoon2FA a fost descoperit în octombrie 2023 de către cercetătorii Sekoia, care au raportat ulterior actualizări semnificative ale kitului de phishing ce au crescut sofisticarea și eficacitatea acestuia.
Trustwave raportează acum că furnizorii Tycoon2FA au adăugat câteva îmbunătățiri care întăresc capacitatea kitului de a ocoli sistemele de detectare și de securitate.
Prima modificare evidențiată este utilizarea caracterelor Unicode invizibile pentru a ascunde datele binare în JavaScript, așa cum a fost raportat pentru prima dată de Juniper Threat Labs în februarie.
Această tactică permite ca sarcina utilă să fie decodificată și executată în mod normal în timpul execuției, evitând analiza manuală (umană) și analiza statică a modelelor.
A doua dezvoltare este trecerea de la Cloudflare Turnstile la un CAPTCHA auto-găzduit, redat prin intermediul HTML5, cu elemente aleatorii. Probabil, creatorii Tycoon2FA au optat pentru această modificare pentru a evita amprentarea și semnalizarea domeniului de către sistemele de securitate și pentru a obține un control mai bun asupra personalizării conținutului paginii.
A treia schimbare majoră este includerea de JavaScript anti-depanare (anti-debugging), care detectează instrumente de automatizare a browserului precum PhantomJS și Burp Suite și blochează anumite acțiuni asociate analizei.
Atunci când este detectată activitate suspectă sau CAPTCHA eșuează (indicator al unei potențiale prezențe a roboților de securitate), utilizatorului i se oferă o pagină de momeală sau este redirecționat către un site web legitim, cum ar fi rakuten.com.
Trustwave subliniază că, deși aceste tehnici de evaziune nu sunt noi în mod individual, ele fac o mare diferență atunci când sunt combinate, complicând detectarea și analiza care poate descoperi infrastructura de phishing.
Într-un raport separat, dar înrudit, Trustwave afirmă că a identificat o creștere dramatică a atacurilor de tip phishing folosind fișiere SVG (Scalable Vector Graphics) rău intenționate, atacuri conduse de platforme PhaaS precum Tycoon2FA, Mamba2FA și Sneaky2FA.
Firma de securitate cibernetică raportează o creștere abruptă de 1.800% din aprilie 2024 până în martie 2025, indicând o schimbare clară a tacticilor, care favorizează un anumit format de fișier.
SVG-urile rău intenționate utilizate în atacurile de phishing sunt imagini deghizate în mesaje vocale, sigle sau pictograme pentru documente în cloud. Cu toate acestea, fișierele SVG pot conține și JavaScript, care este declanșat automat atunci când imaginea este redată în browsere.
Acest cod este ascuns folosind codificarea base64, ROT13, criptarea XOR și bucăți de cod inutil, astfel încât detectarea este mai puțin probabilă.
Funcția codului rău intenționat este de a redirecționa destinatarii mesajelor către pagini de phishing Microsoft 365, care le fură acreditările contului.
Un studiu de caz prezentat în raportul Trustwave se referă la o alertă falsă de mesagerie vocală Microsoft Teams, cu un atașament SVG deghizat sub forma unui mesaj audio. Făcând clic pe acesta, se deschide un browser extern care execută JavaScript, redirecționând către o pagină de conectare falsă la Office 365.
Creșterea platformelor PhaaS și a phishingului bazat pe SVG necesită o vigilență sporită și verificarea autenticității expeditorului.
O măsură eficientă de apărare este blocarea sau semnalarea atașamentelor SVG în gateway-urile de e-mail și utilizarea metodelor MFA rezistente la phishing, cum ar fi dispozitivele FIDO2.
Consecințele pentru afaceri
Atacurile de tip phishing Tycoon2FA pot avea consecințe devastatoare pentru companii. Obținând acces la conturi critice, atacatorii pot exfiltra date sensibile, pot lansa atacuri „man-in-the-middle” (MitM) și pot cauza întreruperi ale serviciului. Aceste incidente pot duce la pierderi financiare semnificative, daune de imagine și implicații juridice.
Riscuri pentru utilizatorii individuali
Pentru persoane fizice, phishingul Tycoon2FA poate duce la furt de identitate, fraudă financiară și compromiterea conturilor personale și profesionale. Atacatorii pot folosi aceste informații pentru a efectua alte atacuri direcționate, crescând potențialul de daune.
