Tycoon 2FA: двухфакторная аутентификация в вашей почте больше не поможет

Киберпреступники все чаще применяют новую фишинговую платформу Tycoon 2FA для взлома учетных записей Microsoft 365 и Gmail, обходя при этом двухфакторную аутентификацию. Эту тенденцию выявили эксперты компании Sekoia .

Tycoon 2FA была обнаружена в октябре 2023 года, однако использовать ее злоумышленники начали еще в августе. Тогда хакерская группа Saad Tycoon стала предлагать свой продукт в закрытых Telegram-каналах. По сути сервис работает по модели «фишинг как услуга» (phishing-as-a-service), то есть предоставляется другим преступникам в аренду.

В 2024 году вышла новая, более скрытная версия Tycoon 2FA, что свидетельствует о постоянных усилиях разработчиков по ее совершенствованию. На данный момент сервис задействует 1100 доменов и был замечен в тысячах фишинговых атак.

Атаки с использованием Tycoon 2FA проходят в несколько этапов:

1. Преступники распространяют вредоносные ссылки или QR-коды по электронной почте (таким образом жертв заманивают на фишинговые сайты).

2. Платформа фильтрует ботов с помощью защитного механизма Cloudflare Turnstile, допускающего только реальных пользователей.

3. e-mail жертвы извлекается из URL для персонализации атаки.

4. Пользователя перенаправляют на другую фишинговую страницу.

5. На экране отображается поддельная страница входа в Microsoft-аккаунт для кражи учетных данных.

6. Платформа отображает поддельную страницу 2FA, чтобы перехватить одноразовый код и обойти двухфакторную аутентификацию.

7. Человека перенаправляют обратно на легитимный сайт, чтобы скрыть следы атаки.

По сведениям Sekoia, Tycoon 2FA имеет сходство с другими фишинговыми платформами вроде Dadsec OTT, что может указывать на повторное использование кода или сотрудничество между разработчиками.

Масштабы распространения Tycoon 2FA довольно внушительные: на криптокошелек операторов с октября 2019 года поступило свыше $394 тысяч в криптовалюте, причем значительный приток средств отмечен с августа 2023 года — момента запуска платформы. Только за первые 10 дней после релиза в августе хакеры получили более 530 транзакций на сумму свыше $120 каждая.

Аналитики утверждают, что последнюю версию Tycoon 2FA создатели неплохо усовершенствовали. Они изменили код на JavaScript и HTML, пересмотрели порядок загрузки ресурсов, а также усилили фильтрацию ботов.

К примеру, теперь вредоносные ресурсы загружаются только после успешного прохождения проверки Cloudflare Turnstile. Кроме того, для сокрытия своей активности злоумышленники используют псевдослучайные URL.

В новой версии Tycoon 2FA улучшились механизмы распознавания и блокировки трафика из анонимной сети Tor, а также с IP-адресов датацентров. Платформа стала блокировать определенные заголовки user-agent, которые могут использоваться средствами обнаружения.