Η κακοήθης πλατφόρμα phishing Tycoon2FA, που εξειδικεύεται στην εκμετάλλευση κωδικών συσκευών, έχει επαναφέρει τη δραστηριότητά της, εκμεταλλευόμενη τις διευθύνσεις URL παρακολούθησης Trustifi για να υποκλέψει λογαριασμούς χρηστών του Microsoft 365.
Αν και είχε υποστεί σοβαρό πλήγμα από διεθνείς αρχές στον τομέα της κυβερνοασφάλειας τον Μάρτιο, η πλατφόρμα ανασυγκροτήθηκε ταχύτατα με νέο σύστημα υποστήριξης και γρήγορα επανήλθε σε σφοδρές επιθέσεις.
Σύμφωνα με ενημέρωση από την τραπεζική έρευνα Abnormal, το Tycoon2FA έχει επανέλθει πλήρως στη λειτουργία του, ενσωματώνοντας νέα μέτρα για να καταστήσει τις επιθέσεις του πιο ανθεκτικές σε επόμενους ελέγχους.
Νωρίτερα αυτόν τον μήνα, παρατηρήθηκε ότι το Tycoon2FA χρησιμοποίησε παρακαταθήκες εξουσιοδότησης OAuth 2.0 για την στοχοποίηση λογαριασμών Microsoft 365, αποδεικνύοντας πως οι υπεύθυνοι καθοδηγούνται από την πρόθεση να συνεχίσουν την ανάπτυξη της κακόβουλης υποδομής τους.
Η τεχνική phishing με κώδικα συσκευής είναι μια εξελιγμένη μέθοδος, όπου οι επιτιθέμενοι αποστέλλουν μια αίτηση εξουσιοδότησης στο θύμα και με απάτη το πείθουν να εισάγει τον παραχθέντα κωδικό στην αυθεντική σελίδα σύνδεσης της υπηρεσίας.
Αυτή η διαδικασία δίνει πρόσβαση στους εισβολείς σε κρίσιμα δεδομένα στον λογαριασμό Microsoft 365 του θύματος, συμπεριλαμβανομένων των αρχείων του ηλεκτρονικού ταχυδρομείου, του ημερολογίου και του cloud χώρου αποθήκευσης.
Σύμφωνα με πρόσφατη αναφορά της Push Security, αυτός ο τύπος επίθεσης έχει αυξηθεί κατά 37 φορές φέτος, με τουλάχιστον δέκα διαφορετικές πλατφόρμες phishing ως υπηρεσία (PhaaS) που υποστηρίζουν αυτή τη δραστηριότητα. Μια πιο πρόσφατη έκθεση της Proofpoint καταγράφει την εκρηκτική άνοδο της συγκεκριμένης τακτικής.
Η νέα διάσταση του Tycoon2FA στο ηλεκτρονικό ψάρεμα κώδικα συσκευής
Σύμφωνα με την έρευνα της εταιρείας eSentire, το Tycoon2FA έχει καταστεί δημοφιλές μεταξύ των κυβερνοεγκληματιών.
Η διαδικασία ξεκινά όταν το θύμα κλικάρει σε διεύθυνση URL παρακολούθησης Trustifi σε ένα δελεαστικό email, και κατόπιν παραχωρεί εν αγνοία του δικαιώματα OAuth σε μια συσκευή που ελέγχεται από τον εισβολέα μέσω της νόμιμης ροής σύνδεσης συσκευής της Microsoft, στη σελίδα microsoft.com/devicelogin. αναφέρεται στο eSentire.
Η σύνδεση αυτών των στοιχείων αποτελεί μια αλυσίδα παράδοσης μέσω του προγράμματος περιήγησης, με την πλατφόρμα Tycoon2FA να παραμένει ουσιαστικά σταθερή από προηγούμενες παραλλαγές που είχαν καταγραφεί.
Το Trustifi είναι μια νόμιμη πλατφόρμα που προσφέρει εργαλεία ασφαλείας για email, τα οποία ωστόσο χρησιμοποιήθηκαν από τους επιτιθέμενους. Εντούτοις, το eSentire δεν έχει καταφέρει να προσδιορίσει τον τρόπο με τον οποίο έγινε αυτό.
Η επίθεση περιλαμβάνει ένα ηλεκτρονικό μήνυμα που μιλά για τιμολόγια, με περιεχόμενο που λειτουργεί ως δόλωμα για τα θύματα, προωθώντας τα σε μια ψεύτικη σελίδα CAPTCHA της Microsoft.
Στη συνέχεια, η πλατφόρμα ανακτά έναν κώδικα συσκευής Microsoft OAuth από το backend του εισβολέα και απαιτεί από το θύμα να το επικολλήσει στη διεύθυνση “microsoft.com/devicelogin”, όπου ολοκληρώνεται και η διαδικασία του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Αφού ολοκληρώσει αυτή τη διαδικασία, η Microsoft εκδίδει πρόσβαση στο OAuth και ανανεώνει τα δικαιώματα στη συσκευή που ελέγχεται από τον εισβολέα.
Πηγή: eSentire
Το κιτ phishing Tycoon2FA περιλαμβάνει προηγμένα εργαλεία ανίχνευσης που ενσωματώνουν Selenium, Puppeteer, Playwright και Burp Suite, καθώς και μηχανισμούς απόκρυψης και κατηγοριοποίησης των επιθέσεων.
Οποιαδήποτε αιτήματα από συσκευές που υποδηλώνουν περιβάλλον ανάλυσης ανακατευθύνονται σε μια νόμιμη σελίδα της Microsoft, αναφέρει η ερευνητική ομάδα του eSentire.
Η λίστα αποκλεισμού του κιτ περιέχει επί του παρόντος 230 ονόματα προμηθευτών και ενημερώνεται διαρκώς.
Το eSentire προτείνει να απενεργοποιείται η ροή κώδικα συσκευής OAuth όταν δεν είναι απαραίτητη, να περιορίζονται τα δικαιώματα των εφαρμογών τρίτων και να ενεργοποιείται η αξιολόγηση συνεχούς πρόσβασης (CAE) για την περαιτέρω προστασία των χρηστών.
Η παρακολούθηση αρχείων καταγραφής Entra είναι επίσης ζωτικής σημασίας για τον έλεγχο των επιθέσεων κώδικα συσκευής, μαζί με τη χρήση του Microsoft Authentication Broker και τους πράκτορες χρήστη Node.js.
Για τους υπερασπιστές, το eSentire έχει δημοσιεύσει έναν πλήρη κατάλογο με δείκτες συμβιβασμού που καθοδηγούν την προστασία παραγωγικών περιβαλλόντων από τις τελευταίες επιθέσεις του Tycoon2FA.
Τα αυτοματοποιημένα εργαλεία pentesting προσφέρουν πραγματική αξία, αλλά κατασκευάστηκαν για να απαντήσουν σε μια ερώτηση: μπορεί ένας εισβολέας να μετακινηθεί μέσω του δικτύου; Δεν δημιουργήθηκαν για να ελέγξουν εάν τα χειριστήρια σας μπλοκάρουν απειλές, αν ενεργοποιούνται οι κανόνες ανίχνευσης ή αν διατηρούνται οι διαμορφώσεις του cloud.
Αυτός ο οδηγός καλύπτει τις 6 επιφάνειες που πρέπει πραγματικά να επικυρώσετε.
Η άποψη του TechNoid.gr
Η επαναφορά της πλατφόρμας Tycoon2FA υπογραμμίζει την ανθεκτικότητα των κακόβουλων προσπαθειών στον τομέα της κυβερνοασφάλειας. Η συνεχής ανάπτυξή της, παρά τις σημαντικές επιτυχίες των αρχών, δείχνει ότι οι εγκληματίες του κυβερνοχώρου είναι ικανοί να προσαρμόζονται και να βρίσκουν νέους τρόπους επίθεσης. Είναι κρίσιμης σημασίας για τους Έλληνες χρήστες να ενισχύσουν τις δυνατότητες ασφάλειας στους λογαριασμούς τους και να είναι σε εγρήγορση απέναντι σε πιθανούς κινδύνους. Η συνεχής εκπαίδευση και η ενημέρωση για τεχνικές phishing είναι απαραίτητες για την προστασία τους.
