СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.05.2025
#Dev#ИБ#Инфра

Tycoon 2FA: эволюция фишинга через обход 2FA

Tycoon 2FA: эволюция фишинга через обход 2FA

Источник: any.run

В октябре 2023 года аналитики компании Sekoia выявили новый фишинговый набор под названием Tycoon 2FA, который связан с группой Saad Tycoon. Этот набор использует тактику «Противник посередине» (AiTM) для обхода двухфакторной аутентификации (2FA) на популярных платформах, таких как Microsoft 365 и Gmail. В этой статье мы рассмотрим изменения в механизмах уклонения Tycoon 2FA и его потенциальную угрозу для пользователей.

Тактики фишинга и атаки

Tycoon 2FA представляет собой сложную систему «фишинг как услуга» (PhaaS), которая за последние месяцы претерпела значительные изменения, особенно в области уклонения от обнаружения. Одним из основных методов, используемых в этой схеме, является:

  • Использование обратного прокси-сервера, который перехватывает файлы cookie сеанса жертвы после ввода учетных данных и кодов 2FA.
  • Применение вредоносного URL-адреса с различными проверками для определения выполнения кода.

На этапе инициирования атаки применяется механизм проверки с использованием CAPTCHA, что затрудняет автоматический анализ. В случае неудачи проверки домена, жертва перенаправляется на поддельную страницу ошибки «Litespeed 404».

Структура и механизмы атаки

Рабочий процесс атаки включает несколько этапов:

  1. Проверка домена.
  2. Перенаправление на фальшивую страницу при неудаче.
  3. Взаимодействие с серверами управления (C2) для принятия решений о дальнейшем ходе атаки.

При извлечении полезной нагрузки злоумышленники используют методы обфускации, такие как Base64 и XOR, чтобы скрыть свои намерения и избежать обнаружения.

Усложнение обнаружения

Новые версии Tycoon 2FA внедряют дополнительные уровни защиты от обнаружения, включая:

  • Обнаружение сред отладки для остановки атак до анализа.
  • Методы обеспечения совместимости с различными браузерами.
  • Шифрование потоков данных и сменные механизмы ввода капчи.

Это делает работу по поведенческому анализу еще более сложной.

Уязвимости и слабые места

Несмотря на адаптацию и внедрение продвинутых методов, фреймворк Tycoon 2FA демонстрирует некоторые слабые стороны, такие как:

  • Использование жестко закодированных ключей для шифрования, что создает угрозу безопасности.
  • Сохранение базовой архитектуры, сосредоточенной на методах фишинга, связанных с аутентификацией Microsoft и Google.

Выводы и рекомендации

Для обеспечения кибербезопасности важно осознавать масштабы угроз, подобных Tycoon 2FA. Организации могут улучшить свои возможности обнаружения новых угроз, адаптируя стратегии безопасности:

  • Понимание методов фишинга.
  • Усиление мер реагирования на потенциальные атаки.

Анализ таких угроз критичен для снижения рисков и повышения общей безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: