В октябре 2023 года аналитики компании Sekoia выявили новый фишинговый набор под названием Tycoon 2FA, который связан с группой Saad Tycoon. Этот набор использует тактику «Противник посередине» (AiTM) для обхода двухфакторной аутентификации (2FA) на популярных платформах, таких как Microsoft 365 и Gmail. В этой статье мы рассмотрим изменения в механизмах уклонения Tycoon 2FA и его потенциальную угрозу для пользователей.
Тактики фишинга и атаки
Tycoon 2FA представляет собой сложную систему «фишинг как услуга» (PhaaS), которая за последние месяцы претерпела значительные изменения, особенно в области уклонения от обнаружения. Одним из основных методов, используемых в этой схеме, является:
- Использование обратного прокси-сервера, который перехватывает файлы cookie сеанса жертвы после ввода учетных данных и кодов 2FA.
- Применение вредоносного URL-адреса с различными проверками для определения выполнения кода.
На этапе инициирования атаки применяется механизм проверки с использованием CAPTCHA, что затрудняет автоматический анализ. В случае неудачи проверки домена, жертва перенаправляется на поддельную страницу ошибки «Litespeed 404».
Структура и механизмы атаки
Рабочий процесс атаки включает несколько этапов:
- Проверка домена.
- Перенаправление на фальшивую страницу при неудаче.
- Взаимодействие с серверами управления (C2) для принятия решений о дальнейшем ходе атаки.
При извлечении полезной нагрузки злоумышленники используют методы обфускации, такие как Base64 и XOR, чтобы скрыть свои намерения и избежать обнаружения.
Усложнение обнаружения
Новые версии Tycoon 2FA внедряют дополнительные уровни защиты от обнаружения, включая:
- Обнаружение сред отладки для остановки атак до анализа.
- Методы обеспечения совместимости с различными браузерами.
- Шифрование потоков данных и сменные механизмы ввода капчи.
Это делает работу по поведенческому анализу еще более сложной.
Уязвимости и слабые места
Несмотря на адаптацию и внедрение продвинутых методов, фреймворк Tycoon 2FA демонстрирует некоторые слабые стороны, такие как:
- Использование жестко закодированных ключей для шифрования, что создает угрозу безопасности.
- Сохранение базовой архитектуры, сосредоточенной на методах фишинга, связанных с аутентификацией Microsoft и Google.
Выводы и рекомендации
Для обеспечения кибербезопасности важно осознавать масштабы угроз, подобных Tycoon 2FA. Организации могут улучшить свои возможности обнаружения новых угроз, адаптируя стратегии безопасности:
- Понимание методов фишинга.
- Усиление мер реагирования на потенциальные атаки.
Анализ таких угроз критичен для снижения рисков и повышения общей безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Tycoon 2FA: эволюция фишинга через обход 2FA".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.