СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
29.05.2025
#Dev#ИБ#ИИ#Инфра#Облака

Анализ фишинговых платформ Dadsec и Tycoon2FA: новая угроза безопасности

Анализ фишинговых платформ Dadsec и Tycoon2FA: новая угроза безопасности

Источник: www.trustwave.com

Масштабная фишинговая кампания с использованием платформы «Dadsec» и Tycoon2FA: новые вызовы в сфере кибербезопасности

С сентября 2023 года эксперты отмечают активизацию масштабной фишинговой кампании, организованной хакерской группой Storm-1575. Ключевой особенностью атаки стало использование платформы “Фишинг как услуга” (PhaaS) под названием Dadsec, разработанной с применением методов adversary-in-the-middle (AiTM). Последние исследования выявили тесную связь инфраструктуры Dadsec с новой платформой Tycoon2FA, что свидетельствует о наличии общей операционной структуры и расширенных возможностях по обходу защитных механизмов.

Особенности платформ Dadsec и Tycoon2FA

Платформы Dadsec и Tycoon2FA демонстрируют высокую степень адаптивности и автоматизации фишинговых кампаний. Они предоставляют злоумышленникам инструменты для быстрой и масштабной реализации атак с использованием следующих функций:

  • Удобный интерфейс с функциями автоматизации, облегчающий управление кампаниями.
  • Множество настраиваемых опций для обхода средств защиты, включая многофакторную аутентификацию (MFA).
  • Активное использование PHP-ресурсов (например, res444.php) для доставки вредоносной полезной нагрузки.
  • Внедрение специальных методов обфускации, таких как шифр Цезаря и кодирование Base64, для усложнения обнаружения и анализа.

В частности, Tycoon2FA, появившаяся в августе 2023 года, выделяется своей способностью перехватывать сессионные файлы cookie, что позволяет злоумышленникам сохранять доступ после смены жертвами паролей, обходя таким образом MFA.

Механика фишинговой атаки и методы уклонения

Типичная атака начинается с рассылки фишинговых электронных писем, в которых используются темы, связанные с финансами или предупреждениями о безопасности. Цель — привлечь внимание жертвы и заставить её перейти по ссылке на мошеннический сайт. Эти сайты маскируются под реальные страницы входа Microsoft 365 и размещаются на IP-адресах, как правило, связанных с хостинг-провайдером NETWORK-SOLUTIONS-HOSTING (AS19871).

Для обхода защиты применяются следующие технологии:

  • Пользовательские вызовы Cloudflare turnstile для подтверждения личности посетителя.
  • Загрузка запутанного JavaScript-кода, отслеживающего действия пользователя и собирающего учетные данные в реальном времени.
  • Динамическая подстановка данных в формы (например, предварительное заполнение email) для повышения достоверности.
  • Шифрование и отправка пользовательских данных на внутренние серверы с целью сбора информации о геолокации, типах браузеров и других характеристиках жертвы.

Социальная инженерия и стратегии обмана

Стратегия фишинга базируется на хорошо проработанных методах социальной инженерии. В фишинговых письмах злоумышленники используют темы, вызывающие тревогу: проблемы с финансами, угрозы безопасности аккаунта, что заставляет пользователя принимать поспешные решения и вводить свои учетные данные.

Кроме того, использование передовых скриптов позволяет не только отслеживать действия жертвы в режиме реального времени, но и сохранять доступ к её аккаунтам даже в случае смены паролей.

Выводы и рекомендации

Развитие платформ PhaaS, таких как Tycoon2FA, демонстрирует усложнение киберугроз и рост профессионализма хакеров. Для минимизации рисков рекомендуется:

  • Внедрять современные средства обнаружения фишинговых атак, включая технологии анализа поведения и выявление подозрительной активности.
  • Обучать пользователей принципам кибергигиены и инструментам распознавания фишинга.
  • Использовать дополнительные уровни защиты помимо MFA, например, hardware tokens и методы аутентификации, устойчивые к перехвату сессий.
  • Обеспечивать сотрудничество между организациями и сообществами в области кибербезопасности для своевременного обмена информацией о новых угрозах.

_Современный ландшафт киберугроз требует от специалистов постоянной бдительности и внедрения комплексных мер защиты. Только совместные усилия позволят эффективно противостоять новым поколениям фишинговых платформ и сохранять безопасность цифровых ресурсов._

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: