Bezpečnostní experti jsou znepokojeni rostoucí četností zneužívání nové platformy pro rozesílání phishingových e-mailů, která je k dispozici jako služba Phishing-as-a-service (PhaaS). Její název je Tycoon 2FA a zaměřuje se především na útoky, směřující do nejvíce používaných platforem pro elektronickou poštu: Microsoft 365 a Gmail. Dokáže obejít i bezpečnostní ochranu dvoufaktorovým ověřením, známou pod zkratkou 2FA.
Platformu objevili analytici společnosti Sekoia loni na podzim v rámci rutinní analýzy hrozeb. Tycoon 2FA je přitom aktivní minimálně od srpna 2023, kdy ji skupina Saad Tycoon Group nabídla prostřednictvím soukromých kanálů v prostředí komunikátoru Telegram.
Útočné metody phishingové platformy
Tycoon 2FA zneužívá vícekrokový proces krádeže přihlašovacích údajů. Útočníci se zaměřují na krádeže souborů cookies, a to prostřednictvím reverzního proxy serveru. Ten oběti přesměrovává na falešné phishingové stránky a přeposílá odeslané údaje. Podvodný proces probíhá v několika krocích:
- distribuce škodlivých odkazů prostřednictvím e-mailů nebo QR kódů,
- obcházení mechanismů ochrany zpráv, jako je například Cloudflare Turnstile,
- extrakce e-mailu oběti z URL asdresy pro personalisované útoky,
- přesměrování oběti na jiné stránky,
- zobrazení falešné přihlašovací stránky Microsoftu za účelem krádeže přihlašovacích údajů,
- předstírání dvoufaktorového ověřování za účelem obejití bezpečnostních opatření,
- přesměrování oběti na legitimní web, aby se zabránilo odhalení phishingového útoku.
Mohlo by vás zajímat
Nejnovější verze aplikace Tycoon 2FA nabízí vylepšené funkce phishingu prostřednictvím aktualizací JavaScriptu, aktualizací kódu HTML, pokročilého filtrování a přizpůsobení příkazů pro načítání zdrojů.
Společnost Sekoia poskytla seznam indikátorů kompromitace, oproti tomu Google zdůrazňuje, že podobné útoky mohou odvrátit bezpečnostní klíče.
Zdroj: Bleeping Computer, Sekoia
8 foto
video
