0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Смена пароля больше не поможет. Почему хакеры из Tycoon 2FA годами оставались незамеченными

leer en español

Europol Tycoon 2FA Microsoft Storm-1747 Intel 471 SpyCloud фишинг
Смена пароля больше не поможет. Почему хакеры из Tycoon 2FA годами оставались незамеченными
Europol Tycoon 2FA Microsoft Storm-1747 Intel 471 SpyCloud фишинг

Преступная империя процветала, скрываясь внутри обычных чатов.

image

Международная операция правоохранительных органов привела к ликвидации одной из крупнейших платформ для фишинговых атак Tycoon 2FA. Сервис работал по модели подписки и позволял злоумышленникам массово проводить атаки с перехватом учётных данных и кодов многофакторной аутентификации. По данным Европола, инфраструктура сервиса использовалась в десятках тысяч инцидентов по всему миру.

Платформа Tycoon 2FA появилась в августе 2023 года и быстро превратилась в крупный инструмент киберпреступников. Доступ продавали через мессенджеры Telegram и Signal. Минимальная стоимость составляла 120 долларов за десять дней работы, а месячный доступ к веб-панели управления обходился примерно в 350 долларов. Основным разработчиком считают Саада Фриди из Пакистана.

Веб-панель служила центром управления фишинговыми кампаниями. Операторы могли выбирать готовые шаблоны писем, настраивать домены и хостинг, отслеживать активность жертв и управлять перенаправлением пользователей. Система собирала логины, пароли, коды многофакторной аутентификации и сессионные cookie-файлы. Полученные данные сохранялись в панели или автоматически пересылались в Telegram почти в режиме реального времени.

По оценке Европола, платформа ежемесячно генерировала десятки миллионов фишинговых писем и обеспечила несанкционированный доступ почти к 100 тысячам организаций. Среди пострадавших оказались школы, больницы, государственные структуры и коммерческие компании. В ходе операции специалисты вывели из строя 330 доменов, которые использовали для размещения фишинговых страниц и административных панелей.

Компания Intel 471 связала Tycoon 2FA более чем с 64 тысячами фишинговых инцидентов и десятками тысяч доменных имён. Microsoft отслеживала операторов платформы под обозначением Storm-1747 и называла сервис самым активным инструментом подобного рода в 2025 году. Только в октябре 2025 года системы компании заблокировали свыше 13 миллионов вредоносных писем, связанных с Tycoon 2FA. К середине того же года сервис отвечал примерно за 62 процента всех фишинговых атак, остановленных Microsoft.

Анализ данных SpyCloud показал наибольшее число пострадавших в США. Далее следуют Великобритания, Канада, Индия и Франция. Основной целью атак оставались корпоративные почтовые аккаунты и домены компаний, а не личные учётные записи пользователей.

Фишинговые страницы сервиса копировали формы входа популярных облачных сервисов, включая Microsoft 365, OneDrive, Outlook, SharePoint и Gmail. Инфраструктура перехватывала не только логины и пароли, но и сессионные токены. Благодаря такой схеме злоумышленники сохраняли доступ даже после смены пароля, если администраторы не отзывали активные сеансы.

Tycoon 2FA активно маскировал инфраструктуру. Система использовала мониторинг нажатий клавиш, проверку посетителей на ботов, отпечатки браузеров, запутанный код и собственные CAPTCHA. Дополнительную сложность для защитных систем создавали быстро меняющиеся доменные имена, которые часто существовали всего от суток до трёх дней.

Среди распространённых тактик применялся приём ATO Jumping. Захваченный почтовый ящик рассылал новые фишинговые ссылки от имени знакомых контактов, что повышало вероятность компрометации следующих жертв. По данным Proofpoint, подобные атаки стали одним из ключевых факторов роста захватов корпоративных аккаунтов в последние годы.