El nuevo kit de phishing 'Tycoon 2FA' omite el MFA

Iniciado por AXCESS, Marzo 25, 2024, 07:16:25 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 25, 2024, 07:16:25 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ciberdelincuentes han estado utilizando cada vez más una nueva plataforma de phishing como servicio (PhaaS) llamada 'Tycoon 2FA' para apuntar a cuentas de Microsoft 365 y Gmail y eludir la protección de autenticación de dos factores (2FA).

Tycoon 2FA fue descubierto por los analistas de Sekoia en octubre de 2023 durante una búsqueda rutinaria de amenazas, pero ha estado activo desde al menos agosto de 2023, cuando el grupo Saad Tycoon lo ofreció a través de canales privados de Telegram.

El kit PhaaS comparte similitudes con otras plataformas de adversario en el medio (AitM), como Dadsec OTT, lo que sugiere una posible reutilización de código o una colaboración entre desarrolladores.

En 2024, Tycoon 2FA lanzó una nueva versión más sigilosa, lo que indica un esfuerzo continuo por mejorar el kit. Actualmente, el servicio aprovecha 1100 dominios y se ha observado en miles de ataques de phishing.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ataques con Tycoon 2FA

Los ataques Tycoon 2FA implican un proceso de varios pasos en el que el actor de la amenaza roba cookies de sesión mediante el uso de un servidor proxy inverso que aloja la página web de phishing, que intercepta la entrada de la víctima y la retransmite al servicio legítimo.

"Una vez que el usuario completa el desafío MFA y la autenticación es exitosa, el servidor intermedio captura las cookies de sesión", explica Skoia. De esta manera, el atacante puede reproducir la sesión de un usuario y eludir los mecanismos de autenticación multifactor (MFA).

El informe de Sekoia describe los ataques en siete etapas distintas, como se describe a continuación:

     Etapa 1: los atacantes distribuyen enlaces maliciosos a través de correos electrónicos con URL o códigos QR incrustados, engañando a las víctimas para que accedan a páginas de phishing.

     Etapa 2: un desafío de seguridad (Cloudflare Turnstile) filtra los bots, permitiendo que solo las interacciones humanas accedan al sitio de phishing engañoso.

     Etapa 3: los scripts en segundo plano extraen el correo electrónico de la víctima de la URL para personalizar el ataque de phishing.

     Etapa 4: los usuarios son redirigidos silenciosamente a otra parte del sitio de phishing, acercándolos a la página de inicio de sesión falsa.

     Etapa 5: esta etapa presenta una página de inicio de sesión falsa de Microsoft para robar credenciales, utilizando WebSockets para la filtración de datos.

     Etapa 6: el kit imita un desafío 2FA, interceptando el token 2FA o la respuesta para eludir las medidas de seguridad.

     Etapa 7: finalmente, las víctimas son dirigidas a una página que parece legítima, lo que oscurece el éxito del ataque de phishing.

Se describe una descripción general del ataque con el siguiente diagrama, que incluye todos los pasos del proceso:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Evolución y escala

Sekoia informa que la última versión del kit de phishing Tycoon 2FA, lanzada este año, ha introducido modificaciones significativas que mejoran las capacidades de phishing y evasión.

Los cambios clave incluyen actualizaciones del código JavaScript y HTML, modificaciones en el orden de recuperación de recursos y un filtrado más extenso para bloquear el tráfico de bots y herramientas analíticas.

Por ejemplo, el kit ahora retrasa la carga de recursos maliciosos hasta que se resuelva el desafío Cloudflare Turnstile, utilizando nombres pseudoaleatorios para las URL para ocultar sus actividades.

Además, el tráfico de la red Tor o las direcciones IP vinculadas a los centros de datos ahora se identifican mejor, mientras que el tráfico se rechaza en función de cadenas de usuario-agente específicas.

En cuanto a la escala de operaciones, Sekoia informa que es sustancial, ya que hay evidencia de una amplia base de usuarios de ciberdelincuentes que actualmente utilizan Tycoon 2FA para operaciones de phishing.

La billetera Bitcoin vinculada a los operadores ha registrado más de 1.800 transacciones desde octubre de 2019, con un incremento notable a partir de agosto de 2023, cuando se lanzó el kit.

Más de 530 transacciones superaron los 120 dólares, que es el precio de entrada para un enlace de phishing de 10 días. A mediados de marzo de 2024, la billetera de los actores de amenazas había recibido un total de 394.015 dólares en criptomonedas.

Tycoon 2FA es sólo una incorporación reciente al espacio PhaaS que ya ofrece a los ciberdelincuentes muchas opciones. Otras plataformas notables que pueden eludir las protecciones 2FA incluyen LabHost, Greatness y Robin Banks.

Para obtener una lista de los indicadores de compromiso (IoC) vinculados a la operación Tycoon 2FA, Sekoia pone a disposición un repositorio con más de 50 entradas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario