Вам пришел SVG-файл? Не открывайте. Это новая фишинговая атака Tykit, нацеленная на пользователей Microsoft

leer en español

Tykit ANY.RUN Microsoft 365 фишинг SVG кража данных Phishing-as-a-Service
Вам пришел SVG-файл? Не открывайте. Это новая фишинговая атака Tykit, нацеленная на пользователей Microsoft
Tykit ANY.RUN Microsoft 365 фишинг SVG кража данных Phishing-as-a-Service

За безобидным вложением скрывается многоступенчатая ловушка, которую не распознают классические антивирусы.

image

Многоэтапная фишинговая кампания под условным названием Tykit нацелена на корпоративных пользователей Microsoft 365 и активно используется для кражи учётных данных. Специалисты ANY.RUN зафиксировали всплеск активности с мая 2025 года, достигший пика осенью. В ряде случаев речь шла о сотнях скомпрометированных аккаунтов, преимущественно в финансовой сфере.

Главной особенностью атаки является использование SVG-файлов, содержащих JavaScript-код, который с помощью XOR маскирует вредоносную нагрузку и запускает перенаправление на поддельную страницу входа. Эти элементы повторяются во всех проанализированных образцах, а используемые серверы имеют схожие доменные шаблоны и сохраняют структуру клиентской логики.

Поддельные страницы копируют интерфейс входа Microsoft 365 и размещаются на сгенерированных доменах с параметром вида «/?s=», содержащим e-mail жертвы в Base64. Запросы к управляющим серверам происходят поэтапно: сначала выполняется проверка введённого адреса, затем отображается форма для ввода пароля, после чего похищенные данные отправляются на сервер злоумышленников. Скрипты на странице включают меры антиотладки, например, блокировку открытия DevTools и отключение контекстного меню. Также используется CAPTCHA на базе Cloudflare Turnstile для защиты от автоматического анализа.

Захват данных сопровождается отправкой JSON-запросов на сервер по адресам «/api/validate» и «/api/login». Первый используется для валидации введённого адреса, второй — для передачи логина и пароля. В ответ сервер управляет поведением страницы: может отобразить сообщение об ошибке, сымитировать повторный ввод или перенаправить пользователя на реальный сайт, скрывая атаку. Присутствует и логика для отправки отладочной информации через «/x.php» при определённых условиях.

Основными мишенями выступают организации из США, Канады, стран Европы, Латинской Америки, Юго-Восточной Азии и Ближнего Востока. Атаки зафиксированы в сферах строительства, консалтинга, IT, телекоммуникаций, образования, государственного управления и торговли. Используемая схема позволяет обойти двухфакторную аутентификацию путём перехвата токенов, что повышает устойчивость злоумышленников в сети жертвы и позволяет перемещаться внутри инфраструктуры.

Отдельные компоненты инфраструктуры Tykit явно указывают на использование модели Phishing-as-a-Service: разделение ролей между серверами доставки и сбора данных, а также наличие ключей, похожих на лицензионные токены.

ANY.RUN проанализировал набор индикаторов, включая сигнатуры SVG-файлов, характерные вызовы функций вроде eval() и parseInt(), а также общие шаблоны переменных и логики JavaScript. Были составлены правила выявления активности Tykit, позволяющие выявлять угрозу как по файлам, так и по сетевым взаимодействиям. Особое внимание уделено доменам, начинающимся на «segy» и использующим шаблон «loginmicr(o|0)s…cc», а также структуре запросов с параметром «/?s=».

Для защиты от подобных атак специалисты рекомендуют проверку содержимого SVG-файлов, изоляцию подозрительных вложений в песочнице, переход на методы аутентификации, устойчивые к фишингу, и мониторинг подозрительных запросов. Повышение осведомлённости сотрудников об угрозах, а также применение средств автоматического анализа, позволяет быстрее реагировать на инциденты и сократить время обнаружения и устранения угрозы.