一種複雜的新型網路釣魚平台即服務,被稱為“Tycoon 2FA”,由於能夠繞過多重身份驗證並竊取 Microsoft 365 和 Gmail 帳戶的登入憑證,因此在網路犯罪分子中越來越受歡迎。
自去年八月出現以來,研究人員已經發現了數千起使用新「工具包」進行的網路釣魚攻擊。大亨 2FA 已網路安全公司 Sekoia 的分析師在 2023 年 10 月的例行威脅監控中發現了這一情況。
然而,有證據表明,網路釣魚工具包的運營者(據信是「Saad Tycoon」威脅組織)已經開始幾個月前透過私人 Telegram 管道進行商業分發。
這種新的網路釣魚方法是如何運作的?
該工具包似乎與其他中間對手 (AitM) 網路釣魚平台(例如 Dadsec OTT)共享一些程式碼,這可能是由於程式碼重用或開發人員之間的協作所致。但 Tycoon 2FA 繼續發展,2024 年初發布的新版本在隱身方面有了顯著改進。
從本質上講,Tycoon 2FA 允許威脅行為者透過使用模仿合法登入流程的網路釣魚網站(包括來自 Microsoft 和 Google 的多因素身份驗證提示)來竊取身分驗證 cookie。這使得攻擊者能夠秘密攔截受害者的多重身份驗證 (MFA) 回應和會話令牌,然後重播經過身份驗證的會話並完全繞過 MFA。
Sekoia 的分析將 Tycoon 2FA 網路釣魚攻擊分解為多個步驟的過程:
- 這些誘餌透過電子郵件、二維碼等方式分發網路釣魚連結。 WHO誘騙用戶進入假登入入口網站。
- 像 Cloudflare Turnstile 這樣的機器人過濾器只允許人類互動。
- URL 分析提取目標的電子郵件以個人化網路釣魚攻擊。
- 用戶被謹慎地重定向到網路釣魚基礎設施的更深處。
- 真實的 Microsoft 登入頁面透過 WebSocket 滲透擷取憑證。
- MFA 的攔截步驟透過從驗證器應用程式中抽取一次性令牌或代碼來規避 2FA。
- 最後,受害者會獲得一個看似合法的域名,以隱藏攻擊痕跡。
駭客透過更新系統來逃避防毒軟體
Tycoon 2FA 的最新版本於 2024 年發布,包含許多改進,使其能夠逃避大多數防毒軟體的檢測。特別是,它延遲了機器人過濾後惡意元件的恢復,使用偽隨機 URL,並改進了基於用戶代理和資料中心 IP 位址的流量過濾。
Sekoia 提供的證據表明,利用 Tycoon 2FA 的威脅行為者維護著涵蓋 1,100 多個領域的廣泛網路釣魚基礎設施。區塊鏈分析也揭示了該集團的比特幣錢包與網路釣魚套件銷售有關自 2019 年 10 月以來,該公司已透過加密貨幣支付獲得了近 40 萬美元的收入,追蹤的交易總數超過 1,800 筆。
研究人員指出,Tycoon 2FA 只是日益飽和的網路釣魚即服務犯罪市場的最新成員,為網路犯罪分子提供有效的工具來擊敗多因素身份驗證。其他繞過多因素身份驗證的網路釣魚工具包,例如 LabHost、Greatness 和 Robin Banks,在過去一年中也在地下世界中聲名狼藉。
隨著合法企業越來越多地採用多因素身份驗證作為安全基礎,能夠繞過這一關鍵控制的網路釣魚工具包已成為網路犯罪分子的稀有商品。它們的持續進化代表對公司憑證和資料構成嚴重風險。
為了防範 Tycoon 2FA 和類似的網路釣魚威脅,企業應該加強使用者識別可疑登入入口網站和 MFA 提示的訓練。監控可疑的身份驗證事件和可能受到威脅的帳戶也很重要。啟用其他 MFA 因素(例如實體安全金鑰或 FIDO 令牌)也有幫助減輕旨在攔截一次性程式碼的高階網路釣魚攻擊所帶來的一些風險。
詢問我們最新的!
由於網路犯罪分子在網上購物時會監視您的數據,因此保護您的交易變得至關重要。幸運的是,像 Bitdefender SafePay 這樣的解決方案可以讓您安全地瀏覽和支付,而不必擔心詐騙和...
安全
