Nuevo kit de phishing ‘Tycoon 2FA’ amenaza las cuentas de Microsoft 365 y Gmail con técnicas de bypass de MFA

 

En el constante panorama de amenazas cibernéticas, ha surgido una nueva plataforma de phishing como servicio (PhaaS) llamada ‘Tycoon 2FA’, que representa un peligro significativo para los usuarios de Microsoft 365 y Gmail. Desarrollado por el grupo Saad Tycoon, este sofisticado kit está diseñado para eludir las protecciones de autenticación de dos factores (2FA), planteando un riesgo grave para la seguridad de los datos personales y organizativos.

 

Resumen de Tycoon 2FA

Descubierto por analistas de Sekoia en octubre de 2023, Tycoon 2FA ha estado operativo desde al menos agosto de 2023, cuando fue distribuido clandestinamente a través de canales privados de Telegram. Esta plataforma utiliza un enfoque de múltiples pasos para llevar a cabo ataques de phishing, empleando un servidor proxy inverso para interceptar cookies de sesión y eludir de manera transparente los desafíos de MFA.

Metodología de Ataque

Los ataques de Tycoon 2FA se desarrollan a través de siete etapas distintas, según lo explicado en el exhaustivo informe de Sekoia:

 

  1. Distribución: Se difunden enlaces maliciosos a través de correos electrónicos o códigos QR para atraer a las víctimas a páginas de phishing.
  2. Desafío de Seguridad: Cloudflare Turnstile filtra los bots, permitiendo que solo las interacciones humanas avancen.
  3. Personalización: Se extrae el correo electrónico de la víctima del URL para adaptar el ataque de phishing.
  4. Redirección: Las víctimas son redirigidas silenciosamente a la página de inicio de sesión falsa.
  5. Robo de Credenciales: Se presenta una página de inicio de sesión falsa de Microsoft para robar credenciales, utilizando WebSockets para la exfiltración de datos.
  6. Imitación de 2FA: El kit imita un desafío de 2FA para interceptar tokens o respuestas, eludiendo así las medidas de seguridad.
  7. Engaño: Las víctimas son dirigidas a una página con apariencia legítima para ocultar el éxito del ataque de phishing.
Evolución y Escala

La última versión de Tycoon 2FA, lanzada en 2024, muestra mejoras significativas en las capacidades de phishing y evasión. Cambios destacados incluyen actualizaciones en el código JavaScript y HTML, recuperación refinada de recursos y mecanismos robustos de detección de bots. Además, la escala de operaciones es sustancial, con evidencia de una amplia adopción entre los cibercriminales y ganancias financieras significativas registradas a través de transacciones de criptomonedas.

Implicaciones y Recomendaciones

La aparición de Tycoon 2FA subraya la persistente amenaza que representan los ataques de phishing, especialmente aquellos dirigidos a cuentas protegidas con 2FA. Se insta a las organizaciones y personas a mantenerse vigilantes, implementar medidas de seguridad sólidas y estar al tanto de las amenazas cibernéticas en evolución.

En conclusión, la proliferación de kits de phishing sofisticados como Tycoon 2FA subraya la necesidad urgente de estrategias integrales de ciberseguridad y una mayor conciencia entre los usuarios para frustrar las actividades nefastas de actores maliciosos.

Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.