一种名为 Tycoon 2FA 的新型网络钓鱼工具包引起了网络安全界的严重担忧。
该工具包由 Sekoia 威胁检测与研究 (TDR) 团队于 2023 年 10 月发现,并在今天发布的一份公告中进行了讨论,该工具包与中间对手 (AiTM) 技术相关,据称被多个威胁行为者利用来策划广泛的攻击和有效的攻击。
根据 Sekoia 的调查,Tycoon 2FA(双因素身份验证)平台至少自 2023 年 8 月起就一直活跃。自发现以来,该公司一直在积极监控与 Tycoon 2FA 相关的基础设施。
分析显示,该工具包已成为最流行的 AiTM 网络钓鱼工具包之一,在 2023 年 10 月至 2024 年 2 月期间检测到了 1,100 多个域名。
Tycoon 2FA 网络钓鱼工具包通过多个阶段运行,以有效执行其恶意活动。
最初,受害者通过电子邮件附件或二维码被引导至一个包含 Cloudflare Turnstile 挑战的页面,该挑战旨在阻止不需要的流量。成功完成后,用户会遇到一个虚假的 Microsoft 身份验证页面,他们的凭据将在其中被获取。
随后,网络钓鱼工具包将此信息中继到合法的 Microsoft 身份验证 API,拦截会话 cookie 以绕过多重身份验证 (MFA)。
在今天的通报中,Sekoia 表示,它于 2024 年 2 月发现了 Tycoon 2FA 的新版本,其 JavaScript 和 HTML 代码发生了重大变化,增强了其网络钓鱼功能。值得注意的是,它重新组织了资源检索并扩展了流量过滤,以阻止机器人活动和分析尝试。
与之前的版本相比,显着的变化包括:
- 初始 HTML 页面类似于第一阶段,保留其功能,但排除了 Cloudflare Turnstile 挑战。
- 随后的有效负载以可识别的模式命名,包含第 4 阶段(虚假登录页面)和新版本第 1 阶段(Cloudflare Turnstile 挑战)的元素。省略了反混淆中不必要的数学运算。
- 以前单独的 JavaScript 下载被合并到阶段 4 和阶段 5。这些阶段现在处理 2FA 实施和数据传输。
- 隐形策略得到改进,将恶意资源提供延迟到 Cloudflare 挑战解决之后。 URL 现在是随机命名的。
- 此外,该套件还可以通过识别和绕过各种流量模式(包括来自数据中心、Tor 和特定机器人用户代理的流量模式)来逃避分析。
Sekoia 还警告 Tycoon 2FA 与其他已知网络钓鱼平台之间的潜在联系,建议共享基础设施和可能共享的代码库。
该咨询补充道:“通过研究据称由 Saad Tycoon Group 进行的比特币交易,Sekoia 分析师认为,Tycoon Group 的业务利润丰厚。 ” “我们预计 Tycoon 2FA PhaaS 到 2024 年仍将是 AiTM 网络钓鱼市场的主要威胁。”
发表评论
您还未登录,请先登录。
登录