Tycoon-Phishing-Kit
Das Aufkommen von Tycoon 2FA, einem neuen Phishing-Kit, hat in der Cybersicherheits-Community große Bedenken ausgelöst. Es wird als Teil des Phishing-as-a-Service (PaaS) der Tycoon Group auf Telegram vermarktet und ist für nur 120 US-Dollar erhältlich. Zu den wichtigsten Funktionen gehören die Möglichkeit, die Zwei-Faktor-Authentifizierung von Microsoft zu umgehen, eine Verbindungsgeschwindigkeit auf höchstem Niveau zu erreichen und Cloudflare zur Umgehung von Antibot-Maßnahmen zu nutzen, um so die Persistenz unentdeckter Phishing-Links sicherzustellen.
Mitte Oktober 2023 wurde das Phishing-Kit aktualisiert, wobei Cyberkriminelle reibungslosere Verknüpfungs- und Anhängevorgänge versprachen. Dieses Update fiel mit der Integration der WebSocket-Technologie in ihre Phishing-Seiten zusammen und verbesserte die Kommunikation zwischen Browser und Server für eine effizientere Datenübertragung an die Server der Akteure.
Im Februar 2024 führte die Tycoon Group eine neue Funktion für Gmail-Nutzer ein, die die Umgehung der Zwei-Faktor-Authentifizierung ermöglicht. Diese Version umfasst eine Gmail-Anmeldeseite „Display“ und Google Captcha und erweitert damit die potenzielle Zielgruppe über Microsoft 365-Benutzer hinaus.
In einem neueren Update führte die Gruppe die Unterstützung für Abonnenten zum Sammeln von Active Directory Federation Services (ADFS)-Cookies ein, die speziell auf die Authentifizierungsmechanismen von Organisationen abzielen, die ADFS verwenden.
Inhaltsverzeichnis
Die Infektionskette des Tycoon Phishing Kit
Die Angriffskettensequenz beginnt mit einer Standard-Phishing-Kampagne, die vertrauenswürdige Domänen und Cloud-basierte Dienste ausnutzt, um die wahre Ziel-URL der Haupt-Phishing-Landingpage zu verschleiern. Diese Strategie beinhaltet die Nutzung seriöser Online-Mail- und Marketingdienste, Newsletter oder Dokumenten-Sharing-Plattformen als URL-Redirectors oder Hosts für Täuschungsdokumente, die Links zur endgültigen Phishing-Seite enthalten.
Die Umleitung erfolgt durch Klicken auf einen Link in der E-Mail, der entweder zu einem Täuschungsdokument mit einem Link zur primären Phishing-Seite oder direkt zur Haupt-Phishing-Landingpage führt, die über einen Redirector bereitgestellt wird.
Die Haupt-Phishing-Landingpage besteht aus zwei Hauptkomponenten: einem „index.php“-PHP-Skript, das für das Laden seiner sekundären Komponente verantwortlich ist, einer „.JS“-Datei mit dem Präfix „myscr“. Die Aufgabe der letztgenannten Komponente besteht darin, den HTML-Code für die Phishing-Seite zu generieren.
Die Tycoon-Phishing-Kampagne prüft, ob es sich bei den Opfern nicht um Bots handelt
Das zweite Komponentenskript nutzt verschiedene Verschleierungstechniken, um Bot-Crawlern und Antispam-Engines zu entgehen. Eine dieser Methoden erfordert eine lange Reihe von Zeichen, die als dezimale Ganzzahlen dargestellt werden. Jede Ganzzahl wird in Zeichen umgewandelt und dann verkettet, um den HTML-Quellcode der Phishing-Seite zu bilden. Darüber hinaus verwendet das Skript eine Verschleierungstechnik, die als „undurchsichtiges Prädikat“ bekannt ist und redundanten Code in den Programmablauf einfügt, um die zugrunde liegende Logik des Skripts zu verschleiern.
Zunächst führt das JavaScript mithilfe des CloudFlare Turnstile-Dienstes eine Vorfilterung durch, um zu überprüfen, ob der Link von einem Menschen aufgerufen wird, und ihn so von automatisierten Bot-Crawlern zu unterscheiden. Benutzer dieses Phishing-as-a-Service (PaaS) können diese Funktion im Admin-Bereich aktivieren und mit ihren Konten verknüpfte CloudFlare-Schlüssel bereitstellen. Diese Integration liefert dem Phisher auch zusätzliche Metriken über das CloudFlare-Dashboard.
Nach erfolgreicher Überprüfung lädt das JavaScript eine gefälschte Anmeldeseite, die auf das vom Abonnenten gewählte Phishing-Thema zugeschnitten ist. Es kann beispielsweise eine Microsoft 365-Anmeldeseite nachahmen.
Tycoon stellt seinen Kunden eine Dashboard-Steuerung zur Verfügung
Das PaaS der Tycoon Group bietet Abonnenten oder Mietern ein Admin-Panel, das ihnen die Möglichkeit gibt, sich anzumelden, Kampagnen zu erstellen und zu überwachen sowie gefälschte Anmeldeinformationen zu überwachen.
Je nach Abonnementstufe können Benutzer für einen festgelegten Zeitraum Zugriff auf das Panel haben. Einzelpersonen können im Einstellungsbereich neue Kampagnen starten, das bevorzugte Phishing-Thema auswählen und verschiedene PaaS-Funktionen anpassen. Darüber hinaus können Abonnenten gefälschte Anmeldeinformationen überwachen, darunter Benutzernamen, Passwörter und Sitzungscookies. Darüber hinaus ermöglicht der Dienst Abonnenten, Phishing-Ergebnisse an ihre Telegram-Konten weiterzuleiten.
Mit Phishing-Kits wie Tycoon lassen sich Phishing-Angriffe immer einfacher durchführen
Das Aufkommen des Phishing-as-a-Service-Modells, das von Unternehmen wie der Tycoon Group verkörpert wird, hat die Eintrittsbarriere für die Ausführung raffinierter Phishing-Angriffe deutlich gesenkt, selbst für weniger erfahrene Kriminelle. Diese Zugänglichkeit zeigt sich laut Forschern in der Zunahme von Phishing-Angriffen, die solche Dienste nutzen. Was die Tycoon Group auszeichnet, ist die Integration der WebSocket-Technologie in die Phishing-Seite, die eine reibungslosere Datenübertragung zwischen dem Browser und dem Server des Angreifers ermöglicht. Darüber hinaus vereinfacht diese Funktion die Kampagnenverwaltung und die Überwachung von Phishing-Zugangsdaten für abonnierte Akteure.
