Если ваша компания использует продукты Microsoft, вы можете стать жертвой атак с применением фишингового набора Tycoon 2FA. Это комплексное решение, помогающее злоумышленникам запускать фишинговые атаки, стремительно набирает популярность. Новые кампании фиксируются почти еженедельно, что делает эту угрозу особенно опасной.
Что представляет собой Tycoon 2FA?
Tycoon 2FA – это фишинговый комплект, работающий по принципу "Фишинг как услуга" (PhaaS). С помощью этого набора злоумышленники могут легко запускать атаки с минимальными усилиями. В основе каждой атаки лежит стремление к похищению сеансового cookie – цифрового токена, подтверждающего аутентификацию пользователя. Захватив его, киберпреступник обходит многофакторную аутентификацию (MFA) и получает доступ к учетной записи.
Как работает Tycoon 2FA?
Основная техника атак Tycoon 2FA — это метод "противник посередине" (AitM). Он позволяет злоумышленникам перехватывать данные между пользователем и легитимным сервисом, маскируясь под доверенного посредника. Процесс атаки начинается с отправки тщательно разработанного фишингового письма.
Эти письма маскируются под уведомления от известных сервисов, таких как Docusign или Microsoft. Часто для их отправки используются легальные платформы, что усложняет их обнаружение.
Цепочка перенаправлений и поддельные страницы
После того как пользователь кликает по ссылке в письме, его перенаправляют через серию сайтов. Это служит нескольким целям: маскировка конечного фишингового ресурса, фильтрация ботов и сбор дополнительной информации о жертве, такой как IP-адрес или данные устройства.
Одним из ключевых элементов атак Tycoon 2FA является проверка CAPTCHA, которая помогает избежать автоматизированного анализа и делает процесс более убедительным для пользователя.
Когда пользователь попадает на фишинговую страницу, она выглядит как настоящая, зачастую полностью копируя интерфейсы Microsoft. Чтобы сделать атаку еще более правдоподобной, злоумышленники используют легальные сервисы для добавления логотипа компании жертвы на страницу входа.
Захват данных и обход MFA
После ввода учетных данных и 2FA-кода, данные передаются на реальный сервер Microsoft, который выдает действительный сеансовый cookie. Tycoon 2FA перехватывает этот cookie и предоставляет злоумышленникам полный доступ к учетной записи пользователя, обходя многофакторную аутентификацию.
Мониторинг кампаний Tycoon 2FA
Отслеживать кампании Tycoon 2FA можно через инструменты анализа угроз, такие как Threat Intelligence Lookup. Этот сервис позволяет исследовать данные, собранные из публичных песочниц, и анализировать последние атаки.
С помощью этого сервиса можно обнаружить новые домены и IP-адреса, которые используются в фишинговых кампаниях Tycoon 2FA.
Как защититься?
Чтобы противостоять атакам Tycoon 2FA, важно использовать комплексные меры защиты, включая антифишинговые инструменты и песочницы, позволяющие анализировать подозрительную активность, а также обучение сотрудников навыкам кибербезопасности.