Actores de amenazas han estado utilizando cada vez más una nueva plataforma de phishing como servicio (PhaaS) denominada ‘Tycoon 2FA‘, para evitar la protección de autenticación de dos factores (2FA) al atacar cuentas de Microsoft 365 y Gmail.

Tycoon 2FA ha estado en funcionamiento desde al menos agosto de 2023, cuando el grupo Saad Tycoon lo ofreció a través de canales privados de Telegram. El kit PhaaS comparte similitudes con otras plataformas, como Dadsec OTT, lo que sugiere una posible reutilización de código o una colaboración entre desarrolladores.

En 2024, Tycoon 2FA lanzó una versión más sigilosa (lo que indica una mejora en el kit). El servicio aprovecha 1.100 dominios y se ha observado en miles de ataques de phishing.

Los ataques involucran un proceso de múltiples pasos en el cual el ciberdelincuente roba las cookies de sesión utilizando un servidor proxy inverso que aloja la página de phishing. Esto permite eludir los mecanismos de autenticación multifactor (MFA).

El informe de Sekoia describe los ataques en siete etapas distintas:

  • Distribución de enlaces maliciosos a través de correos electrónicos o códigos QR.
  • Filtrado de bots mediante un desafío de seguridad.
  • Extracción del correo electrónico de la víctima para personalizar el ataque.
  • Redirección a una página de inicio de sesión falsa.
  • Presentación de una página de inicio de sesión falsa de Microsoft para robar credenciales.
  • Simulación de un desafío de 2FA para eludir las medidas de seguridad.
  • Redirección a una página legítima para oscurecer el éxito del ataque.

La última versión de Tycoon 2FA ha introducido modificaciones significativas que mejoran sus capacidades de phishing y evasión, incluyendo actualizaciones en el código JavaScript, y un filtrado más extenso para bloquear el tráfico no deseado.

Sekoia indica que la magnitud de las operaciones es significativa, por una extensa utilización de Tycoon 2FA por parte de una amplia base de usuarios de ciberdelincuentes. Desde 2019, la billetera Bitcoin vinculada a los operadores ha registrado más de 1.800 transacciones, con un incremento destacable desde agosto de 2023 (fecha de lanzamiento del kit).

Tycoon 2FA es solo una de las muchas opciones en el espacio PhaaS que permiten a los ciberdelincuentes eludir las protecciones de 2FA, junto con LabHost, Greatness y Robin Banks.

Fuente:

New MFA-bypassing phishing kit targets Microsoft 365, Gmail accounts

Tycoon 2FA: an in-depth analysis of the latest version of the AiTM phishing kit