Tycoon 2FA platformu, siber suçluların iki faktörlü kimlik doğrulamayı (2FA) hedef alan gelişmiş kimlik avı saldırılarını kolayca başlatmasına olanak tanıyan bir Hizmet Olarak Kimlik Avı (PhaaS) aracıdır.
Saldırganlar için süreci kolaylaştıran bir hizmet sağlar. ve meşru 2FA isteklerini taklit eden özelleştirilmiş kimlik avı şablonlarının oluşturulmasına olanak tanıyan sezgisel bir arayüz sunar.
Tycoon 2FA aynı zamanda kimlik avı kampanyalarının dağıtımını ve yönetimini kolaylaştıran otomatik özellikleri de entegre ederek kuruluşlara ve bireylere ciddi bir tehdit oluşturan büyük ölçekli ve etkili 2FA kimlik avı saldırılarının başlatılmasına yönelik giriş engelini önemli ölçüde azaltır.
Dinamik analiz, HTML yeminin, kurbanı bir Outlook kimlik avı sitesine yönlendirmeden önce sahte bir sesli posta sayfası görüntülediğini ortaya koyarken, statik analiz, HTML dosyasının, kurbanın e-postasını ve base64 kodlu bir bloğu depolamak için bir değişken içerdiğini gösteriyor.
Blobun kodunun çözülmesi iki parçayı ortaya çıkarır: sahte sesli posta sayfası için base64 kodlu bir HTML kodu ve uzak bir sunucudan getirilen JavaScript kodu (disruptgive[.]com/res444.php) dört saniyelik bir gecikmeden sonra, muhtemelen kurbanın sisteminde kötü amaçlı eylemler gerçekleştirecektir.
Base64 kodlu bir dize içeren karartılmış bir JavaScript, AES şifre çözme için kullanılan anahtar (B + D) ve IV (C) değerlerini içeren PHP uç noktası tarafından döndürülür.
Python betiği, JavaScript’in şifresini çözerek amacını ortaya çıkarır. Şifresi çözülen komut dosyası, “VBsazFxAoBQotTgF” dizesinde ‘#’ karakterinin varlığını kontrol eder.
Bunu bulamayan komut dosyası, bir bağlantı oluşturur. [https://mvz.nvkhytoypg](https://mvz.nvkhytoypg)[.]ru/9SIt8c/, “VBsazFxAoBQotTgF” ile birleştirilir ve ardından sayfanın gövdesini bu bağlantıyla değiştirir ve bir tıklamayı simüle ederek kullanıcıyı etkili bir şekilde oluşturulan URL’ye yönlendirir.
Bu kimlik avı kampanyası, çok aşamalı bir saldırı akışından yararlanır; burada ilk aşama, kurbanları kötü amaçlı bağlantılara tıklamaya teşvik etmeyi içerir; bu bağlantılar, onları çeşitli alanlarda barındırılan kimlik bilgilerini çalmak üzere tasarlanmış kimlik avı sayfalarına yönlendirir.
Saldırı akışını analiz etme süreci boyunca güvenlik araştırmacıları, kötü amaçlı komut dosyalarının saldırganlar tarafından “res444.php” adlı bir PHP dosyası kullanılarak dağıtıldığını tespit edebildiler.
Validin araştırması, bu PHP dosyasının birden fazla alanda kullanıldığını, bunun da ortak bir altyapıya işaret ettiğini ortaya çıkardı. Ayrıca saldırganlar, kimlik avı sayfaları için genel bir şablon kullanarak ilgili alanları tanımlamak için başka bir değerli ipucu sağladı.
Bu bulguları birleştirerek ve PHP dosyasında belirli parametreleri arayarak, güvenlik araştırmacıları daha geniş Tycoon 2FA altyapısını etkili bir şekilde arayabilir ve bozabilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin