黑客正在使用这种新的网络钓鱼技术窃取您的 Gmail 和 Microsoft 365 帐户

一种复杂的新型网络钓鱼平台即服务，被称为“Tycoon 2FA”，由于能够绕过多重身份验证并窃取 Microsoft 365 和 Gmail 帐户的登录凭据，因此在网络犯罪分子中越来越受欢迎。

自去年八月出现以来，研究人员已经发现了数千起使用新“工具包”进行的网络钓鱼攻击。大亨 2FA 已网络安全公司 Sekoia 的分析师在 2023 年 10 月的例行威胁监控中发现了这一情况。

然而，有证据表明，网络钓鱼工具包的运营者（据信是“Saad Tycoon”威胁组织）已经开始几个月前通过私人 Telegram 渠道进行商业分发。

这种新的网络钓鱼方法是如何运作的？

该工具包似乎与其他中间对手 (AitM) 网络钓鱼平台（例如 Dadsec OTT）共享一些代码，这可能是由于代码重用或开发人员之间的协作所致。但 Tycoon 2FA 继续发展，2024 年初发布的新版本在隐身方面有了显着改进。

从本质上讲，Tycoon 2FA 允许威胁行为者通过使用模仿合法登录流程的网络钓鱼站点（包括来自 Microsoft 和 Google 的多因素身份验证提示）来窃取身份验证 cookie。这使得攻击者能够秘密拦截受害者的多重身份验证 (MFA) 响应和会话令牌，然后重播经过身份验证的会话并完全绕过 MFA。

Sekoia 的分析将 Tycoon 2FA 网络钓鱼攻击分解为多个步骤的过程：

• 这些诱饵通过电子邮件、二维码等方式分发网络钓鱼链接。 WHO诱骗用户进入虚假登录门户。
• 像 Cloudflare Turnstile 这样的机器人过滤器只允许人类交互。
• URL 分析提取目标的电子邮件以个性化网络钓鱼攻击。
• 用户被谨慎地重定向到网络钓鱼基础设施的更深处。
• 真实的 Microsoft 登录页面通过 WebSocket 渗透捕获凭据。
• MFA 的拦截步骤通过从身份验证器应用程序中抽取一次性令牌或代码来规避 2FA。
• 最后，受害者会获得一个看似合法的域名，以隐藏攻击痕迹。

黑客通过更新系统来逃避防病毒软件

Tycoon 2FA 的最新版本于 2024 年发布，包含许多改进，使其能够逃避大多数防病毒软件的检测。特别是，它延迟了机器人过滤后恶意组件的恢复，使用伪随机 URL，并改进了基于用户代理和数据中心 IP 地址的流量过滤。

Sekoia 提供的证据表明，利用 Tycoon 2FA 的威胁行为者维护着涵盖 1,100 多个域的广泛网络钓鱼基础设施。区块链分析还揭示了该集团的比特币钱包与网络钓鱼套件销售有关自 2019 年 10 月以来，该公司已通过加密货币支付获得了近 40 万美元的收入，跟踪的交易总数超过 1,800 笔。

研究人员指出，Tycoon 2FA 只是日益饱和的网络钓鱼即服务犯罪市场的最新成员，为网络犯罪分子提供有效的工具来击败多因素身份验证。其他绕过多因素身份验证的网络钓鱼工具包，例如 LabHost、Greatness 和 Robin Banks，在过去一年中也在地下世界中声名狼藉。

随着合法企业越来越多地采用多因素身份验证作为安全基础，能够绕过这一关键控制的网络钓鱼工具包已成为网络犯罪分子的稀有商品。它们的持续进化代表对公司凭证和数据构成严重风险。

为了防范 Tycoon 2FA 和类似的网络钓鱼威胁，企业应该加强用户识别可疑登录门户和 MFA 提示的培训。监控可疑的身份验证事件和可能受到威胁的帐户也很重要。启用其他 MFA 因素（例如物理安全密钥或 FIDO 令牌）也有帮助减轻旨在拦截一次性代码的高级网络钓鱼攻击所带来的一些风险。