Обнаружен новый фишинговый набор Tykit, использующий SVG-файлы для кражи учетных данных Microsoft 365

Специалисты по кибербезопасности обнаружили новую масштабную фишинговую кампанию, использующую сложный набор инструментов под названием Tykit для кражи корпоративных учетных данных Microsoft 365. Аналитики ANY.RUN, которые первыми идентифицировали угрозу, отмечают, что атака отличается многоэтапным механизмом выполнения и использует SVG-файлы в качестве вектора доставки, что делает ее особенно опасной.

Описание

Первые образцы вредоносной активности были зафиксированы в интерактивной песочнице ANY.RUN еще в мае 2025 года, с пиком активности в сентябре-октябре того же года. Угроза нацелена на организации в Северной Америке, Европе, Юго-Восточной Азии, Латинской Америке и на Ближнем Востоке, причем наиболее часто атакам подвергаются компании из сфер строительства, профессиональных услуг, информационных технологий, финансов, государственного управления, телекоммуникаций, недвижимости и образования.

Технический анализ показал, что атака начинается с SVG-изображения, содержащего скрытый JavaScript-код. Этот код использует операцию XOR для восстановления полезной нагрузки и последующего выполнения через функцию eval(), что позволяет перенаправлять жертв на фишинговые страницы. Исследователи отмечают, что встраивание JavaScript в SVG-файлы может использоваться для законных целей, таких как создание интерактивных форм или анимаций, но злоумышленники активно используют эту возможность для сокрытия вредоносного кода.

После перенаправления жертва попадает на поддельную страницу входа в Microsoft 365, которая использует различные методы противодействия обнаружению. Клиентский код выполняется в несколько этапов и включает базовые методы защиты от отладки, такие как блокировка сочетаний клавиш для открытия инструментов разработчика и отключение контекстного меню. Для защиты от ботов используется виджет Cloudflare Turnstile.

Особенностью Tykit является его многоступенчатая архитектура взаимодействия с командными серверами. После прохождения CAPTCHA страница отправляет POST-запрос на сервер с endpoint /api/validate, содержащий JSON с ключом сессии, URL для перенаправления и email-адресом жертвы. Сервер отвечает JSON-объектом, который определяет следующий этап атаки и содержит HTML-код для формы ввода пароля.

На этапе эксфильтрации данных отправляется POST-запрос на endpoint /api/login, содержащий украденные учетные данные. Аналитики обнаружили интересную деталь: в одном из полей запроса присутствует опечатка - "redierct" вместо "redirect", что может служить дополнительным индикатором компрометации. Серверный ответ определяет дальнейшее поведение фишинговой страницы: отображение сообщения об ошибке, перенаправление на легитимный сайт для маскировки мошенничества или выполнение дополнительных действий.

Инфраструктура злоумышленников использует шаблонные доменные имена, соответствующие паттернам ^segy?.* и ^loginmicr(o|0)s.*?.cc$. Среди наблюдаемых доменов - segy[.]zip, segy[.]xyz, segy[.]cc, segy[.]shop и другие. Для поиска связанных индикаторов компрометации исследователи рекомендуют использовать запросы Threat Intelligence Lookup.

Успешная компрометация учетных записей Microsoft 365 может привести к серьезным последствиям, включая захват аккаунтов, эксфильтрацию данных из почтовых ящиков и облачных хранилищ, перемещение внутри корпоративной сети и перехват многофакторной аутентификации. Организации из перечисленных отраслей и регионов находятся в группе повышенного риска.

Для защиты от атак с использованием Tykit специалисты рекомендуют усилить безопасность электронной почты и файлов, обеспечив тщательную проверку содержимого SVG-файлов. Использование песочниц для детонации подозрительных файлов и технологий Content Disarm & Reconstruction позволяет выявлять скрытые вредоносные нагрузки. Также критически важно внедрить устойчивые к фишингу методы многофакторной аутентификации, такие как FIDO2 или сертификатная аутентификация.

Tykit демонстрирует, как относительно небольшие технические изменения в реализации фишинговых атак могут значительно усложнить их обнаружение. Несмотря на то, что этот набор инструментов не включает полный арсенал методов уклонения от обнаружения, он реализует перехват данных в стиле AitM и методы обхода многофакторной аутентификации, что делает его серьезной угрозой для организаций по всему миру. Регулярное обучение сотрудников и готовность к быстрому реагированию на инциденты остаются ключевыми элементами защиты от подобных угроз.