Hackeři kradou vaše účty Gmail a Microsoft 365 pomocí této nové techniky phishingu

Sofistikovaná nová phishingová platforma jako služba s názvem „Tycoon 2FA“ si mezi kyberzločinci získává oblibu díky své schopnosti obejít vícefaktorové ověřování a ukrást přihlašovací údaje pro účty Microsoft 365 a Gmail.

Správce hesel Google
Kredity: 123RF

Vědci zaznamenali tisíce phishingových útoků pomocí nové „sady nástrojů“ od té doby, co se objevila loni v srpnu. Tycoon 2FA byl objevili analytici společnosti Sekoia zabývající se kybernetickou bezpečností během rutinního monitorování hrozeb v říjnu 2023.

Důkazy však naznačují, že operátoři phishingové sady, o které se věří, že jde o skupinu hrozeb „Saad Tycoon“, již začali před několika měsíci komerčně distribuovat prostřednictvím soukromých telegramových kanálů.

Jak tato nová metoda phishingu funguje?

Zdá se, že sada sdílí určitý kód s jinými phishingovými platformami protivníka-in-the-middle (AitM), jako je Dadsec OTT, což může být způsobeno opětovným použitím kódu nebo spoluprací mezi vývojáři. Ale Tycoon 2FA se nadále vyvíjel, s nová verze vydaná na začátku roku 2024, která představuje významná vylepšení v utajení.

Tycoon 2FA ve svém jádru umožňuje aktérům hrozeb ukrást ověřovací soubory cookie pomocí phishingových stránek, které napodobují legitimní toky přihlášení – včetně výzev k vícefaktorové autentizaci od společností Microsoft a Google. To útočníkovi umožňuje tajně zachytit odpověď oběti na vícefaktorové ověřování (MFA) a tokeny relace. přehrajte ověřenou relaci a zcela obejděte MFA.

Analýza společnosti Sekoia rozděluje phishingové útoky Tycoon 2FA do několika kroků:

  • Lávky distribuují phishingové odkazy prostřednictvím e-mailů, QR kódů atd. SZO oklamat uživatele, aby přešli na falešné přihlašovací portály.
  • Filtry robotů, jako je Turniket Cloudflare, umožňují pouze lidskou interakci.
  • Analýza adres URL extrahuje e-mail cíle, aby personalizovala phishingový útok.
  • Uživatelé jsou diskrétně přesměrováni hlouběji do phishingové infrastruktury.
  • Realistická přihlašovací stránka Microsoftu zachycuje přihlašovací údaje prostřednictvím exfiltrace WebSocket.
  • Krok odposlechu MFA obchází 2FA odsáváním jednorázových tokenů nebo kódů z autentizační aplikace.
  • Konečně, Obětem je předložena legitimně vypadající doména, aby byly skryty stopy útoku.

Hackeři se antivirům vyhýbají aktualizací systému

Nejnovější verze Tycoon 2FA, vydaná v roce 2024, obsahuje mnoho vylepšení, která jí umožňují vyhnout se detekci většinou antivirů. Zejména zdržuje obnovu škodlivých komponent po filtrování botů, používá pseudonáhodné adresy URL a zlepšuje filtrování provozu na základě uživatelských agentů a IP adres datových center.

přístupové klíčepřístupové klíče
Fotografický kredit: 123RF

Důkazy poskytnuté společností Sekoia naznačují, že aktéři hrozeb využívající Tycoon 2FA udržují rozsáhlou phishingovou infrastrukturu zahrnující více než 1 100 domén. Analýza blockchainu také odhaluje bitcoinovou peněženku skupiny spojenou s prodejem phishingové sady od října 2019 vydělala téměř 400 000 dolarů na platbách kryptoměnami, přičemž bylo celkem sledováno více než 1 800 transakcí.

Výzkumníci poznamenávají, že Tycoon 2FA je pouze nedávným přírůstkem na stále více nasyceném trhu s phishingem jako službou, poskytuje kyberzločincům účinné nástroje k překonání vícefaktorové autentizace. Další phishingové sady pro obcházení vícefaktorové autentizace, jako je LabHost, Greatness a Robin Banks, si v posledním roce také získaly proslulost v podzemním světě.

Jak legitimní podniky stále více přijímají vícefaktorovou autentizaci jako svůj základ pro zabezpečení, phishingové sady schopné obejít tuto kritickou kontrolu se staly pro kyberzločince vzácným zbožím. Jejich pokračující vývoj představuje vážné riziko pro přihlašovací údaje a data společnosti.

Firmy by měly chránit před Tycoon 2FA a podobnými phishingovými hrozbami zintenzivnit školení uživatelů o identifikaci podezřelých přihlašovacích portálů a výzev MFA. Je také nezbytné sledovat podezřelé události ověřování a potenciálně kompromitované účty. Pomoci může také povolení dalších faktorů MFA, jako jsou fyzické bezpečnostní klíče nebo tokeny FIDO zmírnit některá rizika, která představují pokročilé phishingové útoky zaměřené na zachycení jednorázových kódů.

Leave a Reply

Your email address will not be published. Required fields are marked *