СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
21 марта
#ИБ#Облака

Tycoon2FA восстановила фишинговую инфраструктуру после удара Europol

Tycoon2FA: после громкого удара правоохранителей платформа фишинга быстро восстановила активность

Платформа Tycoon2FA, работающая по модели Phishing-as-a-Service (PhaaS) и появившаяся в 2023 году, оказалась в центре масштабной операции правоохранительных органов под координацией Europol. В ходе скоординированных действий было конфисковано 330 доменов, которые использовались преимущественно для инфраструктуры сервиса. Несмотря на этот удар, активность, связанная с Tycoon2FA, показала, насколько устойчивыми и адаптивными остаются современные киберпреступные экосистемы.

Что представляла собой Tycoon2FA

Tycoon2FA был одним из заметных игроков на рынке фишинга, поскольку позволял злоумышленникам обходить Multi-Factor Authentication. По сообщениям, платформа использовалась для рассылки более 30 миллионов вредоносных электронных писем за один месяц, что делает ее важным инструментом в арсенале фишинговых кампаний.

Механика работы сервиса строилась вокруг кражи учетных данных и сессионных токенов. Атаки начинались с фишинговых электронных писем, которые перенаправляли жертв на страницы с CAPTCHA. После прохождения проверки происходил захват session cookies, а затем — извлечение данных для входа через поддельные страницы авторизации, имитирующие, в частности, Microsoft 365 и Google.

Как работала схема атаки

Особую опасность Tycoon2FA представляло использование техник adversary-in-the-middle (AITM). Такой подход позволял напрямую перехватывать сеансы аутентификации, делая компрометацию учетных записей значительно более эффективной.

Жизненный цикл атаки демонстрировал продуманный и автоматизированный механизм:

  • фишинговое письмо перенаправляло жертву на промежуточную страницу;
  • после прохождения CAPTCHA происходил захват session cookies;
  • пользователь попадал на поддельную страницу входа;
  • полученные учетные данные использовались для компрометации учетной записи;
  • в ряде случаев применялся автоматический вход с инфраструктуры, связанной с известными IPv6-адресами румынского провайдера.

Что изменилось после отключения

После отключения инфраструктуры 4 March 2026 первоначальные отчеты зафиксировали кратковременное падение активности примерно до 25% от уровня, предшествовавшего операции. Однако этот эффект оказался временным: активность быстро вернулась к прежним объемам. Это указывает на то, что ключевые операторы продолжают действовать и способны оперативно перестраивать тактику.

При этом TTP злоумышленников остались практически без изменений. Сохранение tactics, techniques and procedures после масштабного вмешательства правоохранителей свидетельствует о высокой устойчивости инфраструктуры и о способности группировки быстро адаптироваться к попыткам срыва.

Новые методы и направления атак

Наблюдения после операции показали, что злоумышленники продолжают использовать разнообразные сценарии фишинга. Среди них:

  • Business Email Compromise (BEC);
  • перехват email flows;
  • захват Cloud accounts;
  • использование законных доменов и скомпрометированной инфраструктуры для распространения вредоносных redirect links.

Отдельного внимания заслуживает применение Cloud services для маскировки операций. Злоумышленники использовали вредоносные перенаправления, которые выглядели как обычное законное software, что позволяло им скрывать реальную природу атаки и усложнять обнаружение.

Вывод для специалистов по безопасности

История Tycoon2FA показывает, что даже успешные действия правоохранительных органов не всегда приводят к долгосрочному снижению угрозы. Операторы PhaaS-сервисов быстро восстанавливают инфраструктуру, сохраняют свои методы и продолжают развивать подходы к атаке.

Для организаций это означает необходимость постоянного обнаружения и смягчения последствий атак, а также внедрения углубленных стратегий защиты. В условиях, когда противники демонстрируют гибкость и устойчивость, базовые меры безопасности уже недостаточны.

Подчеркивается важность применения углубленных стратегий защиты, поскольку организации стремятся защититься от изощренной тактики, применяемой акторами PhaaS, такими как Tycoon2FA.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: