- 13,850
- 20
- 8 Ноя 2022
Злоумышленники взламывают аккаунты Microsoft 365 и Gmail с помощью новой фишинговой платформы.
Киберпреступники все чаще применяют новую фишинговую платформу Tycoon 2FA для взлома учетных записей Microsoft 365 и Gmail , обходя при этом двухфакторную аутентификацию. Эту тенденцию выявили эксперты Для просмотра ссылки Войдиили Зарегистрируйся .
Tycoon 2FA была обнаружена в октябре 2023 года, однако использовать ее злоумышленники начали еще в августе. Тогда хакерская группа Saad Tycoon стала предлагать свой продукт в закрытых Telegram-каналах. По сути сервис работает по модели «фишинг как услуга» (phishing-as-a-service), то есть предоставляется другим преступникам в аренду.
В 2024 году вышла новая, более скрытная версия Tycoon 2FA, что свидетельствует о постоянных усилиях разработчиков по ее совершенствованию. На данный момент сервис задействует 1100 доменов и был замечен в тысячах фишинговых атак.
Атаки с использованием Tycoon 2FA проходят в несколько этапов:
По сведениям Sekoia, Tycoon 2FA имеет сходство с другими фишинговыми платформами вроде Dadsec OTT, что может указывать на повторное использование кода или сотрудничество между разработчиками.
Масштабы распространения Tycoon 2FA довольно внушительные: на криптокошелек операторов с октября 2019 года поступило свыше $394 тысяч в криптовалюте, причем значительный приток средств отмечен с августа 2023 года — момента запуска платформы. Только за первые 10 дней после релиза в августе хакеры получили более 530 транзакций на сумму свыше $120 каждая.
Аналитики утверждают, что последнюю версию Tycoon 2FA создатели неплохо усовершенствовали. Они изменили код на JavaScript и HTML, пересмотрели порядок загрузки ресурсов, а также усилили фильтрацию ботов.
К примеру, теперь вредоносные ресурсы загружаются только после успешного прохождения проверки Cloudflare Turnstile. Кроме того, для сокрытия своей активности злоумышленники используют псевдослучайные URL.
В новой версии Tycoon 2FA улучшились механизмы распознавания и блокировки трафика из анонимной сети Tor, а также с IP-адресов датацентров. Платформа стала блокировать определенные заголовки user-agent, которые могут использоваться средствами обнаружения.
Киберпреступники все чаще применяют новую фишинговую платформу Tycoon 2FA для взлома учетных записей Microsoft 365 и Gmail , обходя при этом двухфакторную аутентификацию. Эту тенденцию выявили эксперты Для просмотра ссылки Войди
Tycoon 2FA была обнаружена в октябре 2023 года, однако использовать ее злоумышленники начали еще в августе. Тогда хакерская группа Saad Tycoon стала предлагать свой продукт в закрытых Telegram-каналах. По сути сервис работает по модели «фишинг как услуга» (phishing-as-a-service), то есть предоставляется другим преступникам в аренду.
В 2024 году вышла новая, более скрытная версия Tycoon 2FA, что свидетельствует о постоянных усилиях разработчиков по ее совершенствованию. На данный момент сервис задействует 1100 доменов и был замечен в тысячах фишинговых атак.
Атаки с использованием Tycoon 2FA проходят в несколько этапов:
- Преступники распространяют вредоносные ссылки или QR-коды по электронной почте (таким образом жертв заманивают на фишинговые сайты).
- Платформа фильтрует ботов с помощью защитного механизма Cloudflare Turnstile, допускающего только реальных пользователей.
- e-mail жертвы извлекается из URL для персонализации атаки.
- Пользователя перенаправляют на другую фишинговую страницу.
- На экране отображается поддельная страница входа в Microsoft-аккаунт для кражи учетных данных.
- Платформа отображает поддельную страницу 2FA, чтобы перехватить одноразовый код и обойти двухфакторную аутентификацию.
- Человека перенаправляют обратно на легитимный сайт, чтобы скрыть следы атаки.
По сведениям Sekoia, Tycoon 2FA имеет сходство с другими фишинговыми платформами вроде Dadsec OTT, что может указывать на повторное использование кода или сотрудничество между разработчиками.
Масштабы распространения Tycoon 2FA довольно внушительные: на криптокошелек операторов с октября 2019 года поступило свыше $394 тысяч в криптовалюте, причем значительный приток средств отмечен с августа 2023 года — момента запуска платформы. Только за первые 10 дней после релиза в августе хакеры получили более 530 транзакций на сумму свыше $120 каждая.
Аналитики утверждают, что последнюю версию Tycoon 2FA создатели неплохо усовершенствовали. Они изменили код на JavaScript и HTML, пересмотрели порядок загрузки ресурсов, а также усилили фильтрацию ботов.
К примеру, теперь вредоносные ресурсы загружаются только после успешного прохождения проверки Cloudflare Turnstile. Кроме того, для сокрытия своей активности злоумышленники используют псевдослучайные URL.
В новой версии Tycoon 2FA улучшились механизмы распознавания и блокировки трафика из анонимной сети Tor, а также с IP-адресов датацентров. Платформа стала блокировать определенные заголовки user-agent, которые могут использоваться средствами обнаружения.
- Источник новости
- www.securitylab.ru
