Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Tycoon 2FA: новый уровень обхода многофакторной аутентификации

3 мин
Tycoon 2FA — это сложный набор для фишинга как услуги (Phishing-as-a-Service, PhaaS), появившийся в августе 2023 года, который представляет серьёзную угрозу для безопасности пользователей Microsoft 365 и Gmail. Его уникальность заключается в способности обходить многофакторную аутентификацию (MFA) путём кражи сессионных файлов cookie, что позволяет злоумышленникам получать несанкционированный доступ без необходимости дополнительных шагов подтверждения личности. Основой работы Tycoon 2FA служит метод «Противник посередине» (Adversary-in-the-Middle, AitM). Для реализации атаки используется обратный прокси-сервер, который перехватывает процесс входа в систему и создаёт весьма реалистичную имитацию известных сервисов. Жертвы вводят свои учетные данные и коды MFA, не подозревая об угрозе. Ключевым моментом является кража сессионных файлов cookie после успешного входа жертвы. Благодаря этому злоумышленники могут: Набор постоянно обновляется, расширяя возможности уклонения от систем обнаружен
Оглавление

Tycoon 2FA: новый вызов в борьбе с фишингом и обходом MFA

Tycoon 2FA — это сложный набор для фишинга как услуги (Phishing-as-a-Service, PhaaS), появившийся в августе 2023 года, который представляет серьёзную угрозу для безопасности пользователей Microsoft 365 и Gmail. Его уникальность заключается в способности обходить многофакторную аутентификацию (MFA) путём кражи сессионных файлов cookie, что позволяет злоумышленникам получать несанкционированный доступ без необходимости дополнительных шагов подтверждения личности.

Механизм действия Tycoon 2FA

Основой работы Tycoon 2FA служит метод «Противник посередине» (Adversary-in-the-Middle, AitM). Для реализации атаки используется обратный прокси-сервер, который перехватывает процесс входа в систему и создаёт весьма реалистичную имитацию известных сервисов. Жертвы вводят свои учетные данные и коды MFA, не подозревая об угрозе.

Ключевым моментом является кража сессионных файлов cookie после успешного входа жертвы. Благодаря этому злоумышленники могут:

  • обойти многофакторную аутентификацию;
  • получить доступ к учетной записи без повторной авторизации;
  • оставаться незамеченными в течение длительного времени.

Набор постоянно обновляется, расширяя возможности уклонения от систем обнаружения и повышая оперативную скрытность.

Связь с другими инструментами и методы распространения

Исследователи отмечают, что Tycoon 2FA использует элементы из другого фишингового набора Dadsec OTT — в частности, в архитектуре и тактиках атаки. Киберпреступники, управляющие Tycoon 2FA, активно применяют взломанные учетные записи электронной почты для рассылки фишинговых сообщений для повышения доверия жертв.

С конца октября 2023 года по март 2024 года было выявлено более 1200 доменов, связанных с Tycoon 2FA, что свидетельствует о быстром распространении инструмента. Основные каналы доступа и распространения — такие платформы, как Telegram, где злоумышленники предлагают свои услуги.

Типичная цепочка атаки

Атака начинается с рассылки фишинговых писем с ссылками на, казалось бы, легитимные ресурсы. Жертвы, переходя по этим ссылкам, последовательно перенаправляются на несколько промежуточных страниц — этот многоуровневый редирект помогает скрыть конечный адрес и избежать автоматического сканирования систем безопасности.

Фишинговые страницы практически неотличимы от официальных страниц входа в систему и собирают:

  • учетные данные пользователей;
  • токены многофакторной аутентификации;
  • файлы cookie сессии после успешного входа.

Расширенные функции и методы уклонения

За время своего развития Tycoon 2FA получил несколько продвинутых функций:

  • динамическая проверка отпечатков браузера для повышения точности атаки;
  • вращающиеся методы ввода капчи, что затрудняет автоматическое обнаружение;
  • усовершенствованная обфускация кода, усложняющая анализ вредоносного ПО;
  • шифрование полезной нагрузки и использование фишинговых страниц с логотипами и графикой, копирующими реальные сервисы.

Эти инновации делают Tycoon 2FA устойчивым к традиционным системам обнаружения на основе сигнатур и снижают эффективность стандартных средств защиты.

Рекомендации по защите и прогнозы

Эксперты по кибербезопасности отмечают, что PhaaS-платформы вроде Tycoon 2FA становятся всё более распространёнными — на их долю, по прогнозам, к 2025 году придётся до 50% всех атак на учетные данные.

Для эффективного противостояния подобным угрозам организациям рекомендуется:

  • внедрять системы обнаружения, основанные на поведении, с анализом аномальных действий во время сеансов;
  • постоянно мониторить журналы аутентификации и выявлять подозрительные шаблоны;
  • проводить регулярное обучение сотрудников методам распознавания и предотвращения фишинга;
  • использовать современные решения для защиты и шифрования данных.

_Упреждающие меры и постоянная адаптация стратегий кибербезопасности становятся ключом к защите организаций от новых, искушённых угроз типа Tycoon 2FA_, — подчеркивают специалисты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Tycoon 2FA: новый уровень обхода многофакторной аутентификации".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.