Tycoon Phishing Kit
La aparición de Tycoon 2FA, un nuevo kit de phishing, ha generado importantes preocupaciones dentro de la comunidad de ciberseguridad. Comercializado como parte del Phishing-as-a-Service (PaaS) de Tycoon Group en Telegram, está disponible por tan solo $120. Entre sus características clave se encuentran las capacidades para evitar la autenticación de dos factores de Microsoft, lograr una velocidad de enlace de nivel superior y utilizar Cloudflare para eludir las medidas antibot, garantizando así la persistencia de enlaces de phishing no detectados.
A mediados de octubre de 2023, se actualizó el kit de phishing y los ciberdelincuentes prometieron operaciones de enlaces y archivos adjuntos más fluidas. Esta actualización coincidió con la integración de la tecnología WebSocket en sus páginas de phishing, mejorando la comunicación entre el navegador y el servidor para una transmisión de datos más eficiente a los servidores de los actores.
En febrero de 2024, Tycoon Group introdujo una nueva función dirigida a los usuarios de Gmail, que permitía eludir la autenticación de dos factores. Esta versión incluye una página de inicio de sesión 'Display' de Gmail y Google Captcha, ampliando su público objetivo potencial más allá de los usuarios de Microsoft 365.
En una actualización más reciente, el grupo introdujo soporte para que los suscriptores recopilen cookies de Servicios de federación de Active Directory (ADFS), específicamente dirigidas a los mecanismos de autenticación de las organizaciones que utilizan ADFS.
Tabla de contenido
La cadena de infección del kit de phishing de Tycoon
La secuencia de la cadena de ataque comienza con una campaña de phishing estándar que explota dominios confiables y servicios basados en la nube para ocultar la verdadera URL de destino de la página principal de phishing. Esta estrategia implica aprovechar servicios de marketing y envío de correo en línea de buena reputación, boletines informativos o plataformas para compartir documentos como redireccionadores de URL o hosts para documentos señuelo que contienen enlaces a la página final de phishing.
La redirección se produce al hacer clic en un enlace del correo electrónico, lo que conduce a un documento señuelo con un enlace a la página principal de phishing o directamente a la página principal de phishing facilitada por un redirector.
La página de inicio principal de phishing consta de dos componentes principales: un script PHP 'index.php' responsable de cargar su componente secundario, un archivo '.JS' con el prefijo 'myscr'. La función de este último componente es generar el código HTML para la página de phishing.
La campaña de phishing de Tycoon comprueba si las víctimas no son robots
El script del segundo componente emplea varias técnicas de ofuscación para eludir los rastreadores de robots y los motores antispam. Uno de esos métodos implica una larga serie de caracteres representados como números enteros decimales. Cada número entero se convierte en caracteres y luego se concatena para formar el código fuente HTML de la página de phishing. Además, el script emplea una técnica de ofuscación conocida como "predicado opaco", que introduce código redundante en el flujo del programa para ocultar la lógica subyacente del script.
Inicialmente, JavaScript realiza un filtrado previo utilizando el servicio CloudFlare Turnstile para verificar que un humano accede al enlace, distinguiéndolo de los rastreadores de bots automatizados. Los usuarios de este Phishing-as-a-Service (PaaS) pueden activar esta función en el panel de administración y proporcionar claves de CloudFlare asociadas con sus cuentas. Esta integración también proporciona métricas adicionales para el phisher a través del panel de CloudFlare.
Tras una verificación exitosa, JavaScript carga una página de inicio de sesión falsificada adaptada al tema de phishing elegido por el suscriptor. Por ejemplo, puede imitar una página de inicio de sesión de Microsoft 365.
Tycoon proporciona a sus clientes un panel de control
Tycoon Group PaaS ofrece un panel de administración al que pueden acceder los suscriptores o inquilinos, lo que les otorga la posibilidad de iniciar sesión, crear y monitorear campañas, así como también supervisar las credenciales de phishing.
Los usuarios podrán tener acceso al panel durante un período determinado, dependiendo de su nivel de suscripción. Las personas pueden iniciar nuevas campañas dentro de la sección de configuración, eligiendo el tema de phishing preferido y ajustando varias funciones de PaaS. Además, los suscriptores pueden supervisar las credenciales de phishing, que incluyen nombres de usuario, contraseñas y cookies de sesión. Además, el servicio permite a los suscriptores reenviar resultados de phishing a sus cuentas de Telegram.
Los ataques de phishing son cada vez más fáciles de ejecutar mediante kits de phishing como Tycoon
El surgimiento del modelo de phishing como servicio, ejemplificado por entidades como Tycoon Group, ha reducido significativamente la barrera de entrada para ejecutar sofisticados ataques de phishing, incluso para delincuentes menos experimentados. Esta accesibilidad es evidente en el aumento de los ataques de phishing que utilizan dichos servicios, como señalaron los investigadores. Lo que distingue a Tycoon Group es la incorporación de la tecnología WebSocket en la página de phishing, lo que permite una transmisión de datos más fluida entre el navegador y el servidor del atacante. Además, esta característica simplifica la gestión de campañas y la supervisión de las credenciales de phishing para los actores suscritos.
