PC

Χάκερ κλέβουν τους λογαριασμούς σας στο Gmail και στο Microsoft 365 χρησιμοποιώντας αυτή τη νέα τεχνική phishing

Μια εξελιγμένη νέα πλατφόρμα ηλεκτρονικού “ψαρέματος” ως υπηρεσία, που ονομάζεται “Tycoon 2FA”, κερδίζει δημοτικότητα μεταξύ των εγκληματιών του κυβερνοχώρου λόγω της ικανότητάς της να παρακάμπτει τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να κλέβει τα διαπιστευτήρια σύνδεσης για λογαριασμούς Microsoft 365 και Gmail.

Google Password Manager
Πιστώσεις: 123RF

Οι ερευνητές έχουν εντοπίσει χιλιάδες επιθέσεις phishing χρησιμοποιώντας μια νέα «εργαλειοθήκη» από τότε που εμφανίστηκε τον περασμένο Αύγουστο. Το Tycoon 2FA ήταν ανακαλύφθηκε από αναλυτές της εταιρείας κυβερνοασφάλειας Sekoia κατά τη διάρκεια παρακολούθησης ρουτίνας απειλών τον Οκτώβριο του 2023.

Ωστόσο, τα στοιχεία δείχνουν ότι οι χειριστές του κιτ phishing, που πιστεύεται ότι είναι η ομάδα απειλών «Saad Tycoon», είχαν ήδη ξεκινήσει διανέμονται εμπορικά μέσω ιδιωτικών καναλιών Telegram πριν από λίγους μήνες.

Πώς λειτουργεί αυτή η νέα μέθοδος phishing;

Το κιτ φαίνεται να μοιράζεται κάποιο κώδικα με άλλες πλατφόρμες phishing του αντιπάλου (AitM), όπως το Dadsec OTT, κάτι που μπορεί να οφείλεται σε επαναχρησιμοποίηση κώδικα ή συνεργασία μεταξύ προγραμματιστών . Αλλά το Tycoon 2FA συνέχισε να εξελίσσεται, με νέα έκδοση που κυκλοφόρησε στις αρχές του 2024 η οποία παρουσιάζει σημαντικές βελτιώσεις στο stealth.

Στον πυρήνα του, το Tycoon 2FA επιτρέπει στους παράγοντες απειλών να κλέβουν cookie ελέγχου ταυτότητας χρησιμοποιώντας ιστότοπους ηλεκτρονικού ψαρέματος που μιμούνται τις νόμιμες ροές σύνδεσης – συμπεριλαμβανομένων των μηνυμάτων ελέγχου ταυτότητας πολλαπλών παραγόντων από τη Microsoft και την Google. Αυτό επιτρέπει στον εισβολέα να υποκλέψει κρυφά την απόκριση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) του θύματος και τα διακριτικά περιόδου λειτουργίας, στη συνέχεια επαναλάβετε μια επαληθευμένη περίοδο λειτουργίας και παρακάμψτε πλήρως το MFA.

Η ανάλυση του Sekoia αναλύει τις επιθέσεις phishing Tycoon 2FA σε μια διαδικασία πολλαπλών βημάτων:

  • Τα θέλγητρα διανέμουν συνδέσμους phishing μέσω email, κωδικών QR κ.λπ. ΠΟΥ εξαπατήσουν τους χρήστες να πάνε σε ψεύτικες πύλες σύνδεσης.
  • Τα φίλτρα bot όπως το Cloudflare Turnstile επιτρέπουν μόνο ανθρώπινη αλληλεπίδραση.
  • Η ανάλυση URL εξάγει το email του στόχου για να εξατομικεύσει την επίθεση phishing.
  • Οι χρήστες ανακατευθύνονται διακριτικά βαθύτερα στην υποδομή phishing.
  • Μια ρεαλιστική σελίδα σύνδεσης της Microsoft καταγράφει τα διαπιστευτήρια μέσω της εξαγωγής WebSocket.
  • Το βήμα υποκλοπής του MFA παρακάμπτει το 2FA συλλέγοντας διακριτικά ή κωδικούς μίας χρήσης από την εφαρμογή ελέγχου ταυτότητας.
  • Τελικά, Τα θύματα παρουσιάζονται με μια νόμιμη εμφάνιση για να κρύψουν τα ίχνη της επίθεσης.

Οι χάκερ αποφεύγουν τα antivirus ενημερώνοντας το σύστημα

Η τελευταία έκδοση του Tycoon 2FA, που κυκλοφόρησε το 2024, περιλαμβάνει πολλές βελτιώσεις που του επιτρέπουν να αποφεύγει τον εντοπισμό από τα περισσότερα προγράμματα προστασίας από ιούς. Συγκεκριμένα, καθυστερεί την ανάκτηση κακόβουλων στοιχείων μετά το φιλτράρισμα bot, χρησιμοποιεί ψευδοτυχαίες διευθύνσεις URL και βελτιώνει το φιλτράρισμα της κυκλοφορίας με βάση τους πράκτορες χρήστη και τις διευθύνσεις IP του κέντρου δεδομένων.

κωδικούς πρόσβασηςκωδικούς πρόσβασης
Πίστωση φωτογραφίας: 123RF

Τα στοιχεία που παρέχονται από τη Sekoia δείχνουν ότι οι φορείς απειλών που εκμεταλλεύονται το Tycoon 2FA διατηρούν μια εκτεταμένη υποδομή phishing που εκτείνεται σε πάνω από 1.100 τομείς. Η ανάλυση Blockchain αποκαλύπτει επίσης ότι το πορτοφόλι Bitcoin του Ομίλου συνδέεται με πωλήσεις κιτ ηλεκτρονικού ψαρέματος έχει συγκεντρώσει σχεδόν 400.000 $ σε πληρωμές σε κρυπτονομίσματα από τον Οκτώβριο του 2019, με περισσότερες από 1.800 συνολικές συναλλαγές να παρακολουθούνται.

Οι ερευνητές σημειώνουν ότι το Tycoon 2FA είναι μόνο μια πρόσφατη προσθήκη σε μια ολοένα και πιο κορεσμένη αγορά εγκλήματος ηλεκτρονικού ψαρέματος ως υπηρεσίας. παρέχοντας στους εγκληματίες του κυβερνοχώρου αποτελεσματικά εργαλεία για να νικήσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων. Άλλα κιτ phishing για παράκαμψη ελέγχου ταυτότητας πολλαπλών παραγόντων, όπως το LabHost, το Greatness και το Robin Banks, έχουν επίσης αποκτήσει φήμη στον υπόγειο κόσμο τον περασμένο χρόνο.

Καθώς οι νόμιμες επιχειρήσεις υιοθετούν ολοένα και περισσότερο τον έλεγχο ταυτότητας πολλαπλών παραγόντων ως βάση για την ασφάλεια, τα κιτ phishing που μπορούν να παρακάμψουν αυτόν τον κρίσιμο έλεγχο έχουν γίνει ένα σπάνιο προϊόν για τους εγκληματίες του κυβερνοχώρου. Η συνεχής εξέλιξή τους αντιπροσωπεύει σοβαρό κίνδυνο για τα διαπιστευτήρια και τα δεδομένα της εταιρείας.

Για την προστασία από το Tycoon 2FA και παρόμοιες απειλές phishing, οι επιχειρήσεις θα πρέπει εντατικοποίηση της εκπαίδευσης των χρηστών σχετικά με τον εντοπισμό ύποπτων πυλών σύνδεσης και μηνυμάτων MFA. Είναι επίσης σημαντικό να παρακολουθείτε ύποπτα συμβάντα ελέγχου ταυτότητας και πιθανώς παραβιασμένους λογαριασμούς. Η ενεργοποίηση πρόσθετων παραγόντων MFA, όπως φυσικά κλειδιά ασφαλείας ή μάρκες FIDO, μπορεί επίσης να βοηθήσει να μετριάσει ορισμένους από τους κινδύνους που ενέχουν οι προηγμένες επιθέσεις phishing με στόχο την υποκλοπή κωδικών μίας χρήσης.

Leave a Reply

Your email address will not be published. Required fields are marked *