Tycoon 2FA: платформа для обхода двухфакторной аутентификации набирает популярность среди киберпреступников

Платформа предоставляет злоумышленникам высококачественные фишинговые страницы, имитирующие вход в Microsoft 365, Gmail и Outlook. Ее популярность среди кибератакующих объясняется подписочной моделью и низким порогом входа. Последние данные разведки показывают быстрое расширение инфраструктуры, улучшение возможностей обфускации и растущее использование в кампаниях по сбору учетных данных и целевых атаках на бизнес-почту (BEC).

Tycoon 2FA появился как эволюция более ранних фишинговых инструментов, предлагая злоумышленникам услуги на основе подписки, не требующие глубоких технических знаний. Клиенты приобретают временный доступ к инфраструктуре через Telegram-каналы, получая возможность развертывать фишинговые страницы, подключенные к центральной системе управления.

Ключевое преимущество Tycoon 2FA - способность перехватывать не только логины и пароли, но и сессионные токены, а также ответы MFA. Перенаправляя запросы на легитимные сервисы аутентификации в реальном времени, операторы платформы обходят почти все устаревшие методы MFA, включая SMS-коды, приложения для генерации одноразовых паролей и пуш-уведомления.

Со временем Tycoon 2FA внедрил такие возможности, как CAPTCHA на начальном экране, динамическую обфускацию JavaScript, функции защиты от анализа, проверки отпечатка браузера и скрытие кода с использованием Unicode. Эти дополнения значительно снижают обнаружение средствами безопасности и усложняют обратную разработку. Платформа продолжает расширяться, используя тысячи одноразовых доменов и многоязычные фишинговые шаблоны.

Анализ фишинговых URL-адресов выявляет несколько характерных поведенческих паттернов, соответствующих известному workflow Tycoon 2FA. Сначала страница отображает CAPTCHA, чтобы отсеять автоматические сканеры и добавить видимость легитимности. После успешного решения задачи пользователь перенаправляется на точный клон страницы входа Microsoft.

Фишинговая страница сначала запрашивает только адрес электронной почты, зеркалируя легитимный процесс Microsoft. Это позволяет серверной части Tycoon провести валидацию и отклонить синтаксически некорректные данные. После принятия email пользователь вводит пароль, который немедленно эксфильтрируется на серверы злоумышленников. Затем серверная часть пытается выполнить вход в реальном времени, чтобы получить сессионные токены для обхода MFA.

Сразу после перехвата учетных данных жертве показывается фальшивый экран ошибки с сообщением, что вход заблокирован по соображениям безопасности. Этот прием предотвращает немедленные повторные попытки входа на легитимном сайте, снижает подозрительность жертвы и дает атакующим время для использования украденной сессии.

Кампания демонстрирует высокоэффективную систему ротации доменов. Используются поддомены по шаблону: [случайное-слово].[случайная-строка].sa.com. Наблюдаемые примеры включают Dragonfly.kooverou.sa.com, Candy.dreajeacrio.sa.com и Blanket.dreajeacrio.sa.com. Ключевые характеристики инфраструктуры: эндпоинты длиной более 70 символов, полезная нагрузка в Base64 и зашифрованном виде, а также кросс-доменные запросы.

Такой многослойный подход, сочетающий ротацию поддоменов, динамические URL-пути и закодированные данные, делает статические черные списки largely неэффективными. Это обеспечивает устойчивую возможность эксфильтрации данных.

CYFIRMA оценивает Tycoon 2FA как высоковлиятельную и быстро развивающуюся платформу, продолжающую изменять глобальный ландшафт киберугроз. Ее доступность через приватные Telegram-каналы позволяет широкому спектру злоумышленников выполнять сложные AitM-атаки с минимальными операционными затратами. Инфраструктурная стратегия Tycoon deliberately гибкая, обеспечивая постоянную доступность за счет быстрой смены доменов в различных доменных зонах.

Разработчики платформы continuously вносят технические улучшения. В частности, они чередуют использование шифрования AES и RC4, расширяют применение Base64 для кодирования путей URL, внедряют логическую фильтрацию анти-сканеров и усложняют слои обфускации. Эти усилия clearly направлены на опережение технологий обнаружения.

С учетом роста возможностей платформы и отзывчивости разработчиков на контрмеры безопасности, CYFIRMA прогнозирует дальнейшую эволюцию Tycoon 2FA. Ожидается внедрение новых техник уклонения, усиление манипуляций с сессионными токенами, переход к более устойчивым децентрализованным моделям хостинга и потенциальное использование генерации фишинговых страниц на основе ИИ для повышения реалистичности. Данные тенденции указывают не только на устойчивую операционную живучесть, но и на вероятность дальнейшего расширения влияния и технического охвата платформы.

Проанализированная фишинговая кампания демонстрирует сильное соответствие известным возможностям, поведению и инфраструктурным шаблонам Tycoon 2FA. Использование CAPTCHA, AitM-сценариев входа, валидации email на стороне сервера, ретрансляции учетных данных в реальном времени и обманчивых сообщений об ошибках полностью соответствует установленной методологии атак. Ротация доменной инфраструктуры, кодирование данных и кросс-доменное взаимодействие дополнительно подтверждают атрибуцию.

На основе наблюдаемых индикаторов и более широкой разведки угроз CYFIRMA заключает, что Tycoon 2FA продолжает оставаться значительной и быстро развивающейся угрозой для предприятий, особенно тех, кто полагается на устаревшие механизмы MFA.

Domains

• blanket.dreajeacrio.sa.com
• candy.dreajeacrio.sa.com
• dragonfly.kooverou.sa.com

URLs

• https://ifelse.rlcozx.es/N@g38UiKmbi/