Un nuevo kit de phishing denominado Tycoon 2FA ha generado importantes preocupaciones en la comunidad de ciberseguridad.
Descubierto por el equipo de Investigación y Detección de Amenazas de Sekoia (TDR) en octubre de 2023 y discutido en un aviso publicado hoy, el kit está asociado con la técnica Adversary-in-The-Middle (AiTM) y supuestamente utilizado por múltiples actores de amenazas para orquestar ataques generalizados. y ataques efectivos.
Según la investigación de Sekoia, la plataforma Tycoon 2FA (autenticación de dos factores) ha estado activa desde al menos agosto de 2023. Desde su descubrimiento, la empresa ha estado monitoreando activamente la infraestructura asociada con Tycoon 2FA.
El análisis reveló que el kit se ha convertido en uno de los kits de phishing AiTM más frecuentes, con más de 1100 nombres de dominio detectados entre octubre de 2023 y febrero de 2024.
El kit de phishing Tycoon 2FA opera a través de varias etapas para ejecutar sus actividades maliciosas de manera efectiva.
Inicialmente, las víctimas son dirigidas mediante archivos adjuntos de correo electrónico o códigos QR a una página que presenta un desafío Cloudflare Turnstile diseñado para frustrar el tráfico no deseado. Al finalizar con éxito, los usuarios encuentran una página de autenticación de Microsoft falsa, donde se recopilan sus credenciales.
Posteriormente, el kit de phishing transmite esta información a la API de autenticación legítima de Microsoft, interceptando las cookies de sesión para evitar la autenticación multifactor (MFA).
Lea más sobre ataques similares: Los kits de derivación de MFA representan un millón de mensajes mensuales
En el aviso de hoy, Sekoia dijo que identificó una nueva versión de Tycoon 2FA en febrero de 2024 que presenta cambios significativos en sus códigos JavaScript y HTML, mejorando sus capacidades de phishing. En particular, reorganiza la recuperación de recursos y amplía el filtrado de tráfico para frustrar la actividad de los bots y los intentos de análisis.
En comparación con la versión anterior, las modificaciones notables incluyen:
-
La página HTML inicial, similar a la etapa 1, conserva su función pero excluye el desafío Cloudflare Turnstile.
-
La carga útil posterior, nombrada en un patrón reconocible, incorpora elementos tanto de la etapa 4 (página de inicio de sesión falsa) como de la etapa 1 de la nueva versión (desafío Cloudflare Turnstile). Se omiten las operaciones matemáticas innecesarias en la desofuscación.
-
Las descargas de JavaScript que anteriormente estaban separadas se consolidan en las etapas 4 y 5. Estas etapas ahora manejan la implementación de 2FA y la transmisión de datos.
-
Se refinan las tácticas de sigilo, lo que retrasa la provisión de recursos maliciosos hasta después de la resolución del desafío de Cloudflare. Las URL ahora reciben nombres aleatorios.
-
Además, el kit se adapta para evadir el análisis identificando y evitando varios patrones de tráfico, incluidos los de centros de datos, Tor y agentes de usuario de bots específicos.
Sekoia también advirtió sobre posibles conexiones entre Tycoon 2FA y otras plataformas de phishing conocidas, sugiriendo infraestructura compartida y posiblemente bases de código compartidas.
“Al estudiar las transacciones de Bitcoin supuestamente atribuidas a Saad Tycoon Group, los analistas de Sekoia creen que las operaciones de Tycoon Group son altamente lucrativas”, añadió el consultivo. “Esperamos que Tycoon 2FA PhaaS siga siendo una amenaza importante dentro del mercado de phishing AiTM en 2024”.
