Şirketiniz Microsoft ürünleri kullanıyorsa, Tycoon 2FA kimlik avı saldırısının kurbanı olma riskiniz vardır. Bu kimlik avı kitinin saldırılarda benimsenmesi, neredeyse her hafta yeni kampanyaların ortaya çıkmasıyla giderek artmaktadır. Nasıl çalıştığı hakkında daha fazla bilgi edinelim ve Tycoon 2FA saldırılarının gerçek örneklerinin analizini görelim.
Tycoon 2FA Nedir?
Tycoon 2FA, kimlik avı saldırılarının dağıtımını basitleştirmek için tasarlanmış önceden paketlenmiş bir araç ve şablon seti olan bir kimlik avı kiti türüdür. Kimlik Avı Hizmeti (PhaaS) platformu olarak çalışır ve bu da onu çok çeşitli siber suçluların erişimine açar.
Her Tycoon saldırısının hedefi, kullanıcının kimliği doğrulanmış oturumunu temsil eden dijital bir belirteç olan oturum çerezidir. Saldırgan, çerezi çalarak, çerezin kullanıcının zaten kimliği doğrulandığını kanıtlaması nedeniyle sonraki oturum açma girişimleri için Çok Faktörlü Kimlik Doğrulamayı (MFA) atlatabilir.
Kullanımı kolay bir arayüz ve güçlü yetenekler sunması sayesinde Tycoon 2FA, MFA tarafından korunan kullanıcı hesaplarını tehlikeye atmak isteyen birçok kötü niyetli aktör için tercih edilen bir seçenek haline geldi.
Tycoon 2FA Nasıl Çalışır?
Tycoon 2FA’nın temel işlevi, “aradaki düşman” (AitM) tekniği etrafında döner. Bu, kullanıcı ile meşru hizmet arasındaki iletişimi keserek hassas bilgileri ele geçirmek için kendisini aracı olarak konumlandırdığı anlamına gelir.
Tipik bir saldırının nasıl gerçekleştiğine daha yakından bakalım.
Kimlik avı e-postası
Tycoon 2FA saldırısının ilk aşaması dikkatlice hazırlanmış bir kimlik avı e-postasıdır.
Bu e-postalar, güvenilir kaynaklardan gelen meşru iletişimler gibi görünmek üzere tasarlanmıştır. Aslında, ANY.RUN araştırmacıları tarafından gözlemlendiSaldırganlar, tuzaklarını göndermek için genellikle Amazon Basit E-posta Hizmeti gibi meşru hizmetleri kötüye kullanırlar.
Yukarıda bir tane görebilirsiniz sandbox analiz oturumu Docusign adında elektronik ortamda belge imzalamak için kullanılan popüler bir servisten gelen bir mesaj gibi görünen Tycoon 2FA başlangıç e-postasını içeriyor.
İçeride kullanıcıyı saldırının bir sonraki aşamasına yönlendiren bir bağlantı karşılıyor.
Try Advanced Malware and Phishing Analysis With 14-day free trial of ANY.RUN
Yönlendirme Zinciri
Bir kullanıcı kötü amaçlı bağlantıya tıkladığında, son kimlik avı web sitesine ulaşmadan önce genellikle birden fazla sayfaya yönlendirilir.
Bu yönlendirme katmanlarının birkaç amacı vardır:
- Kötü amaçlı bağlantının gerçek hedefini maskelemek.
- Botları filtrelemek, otomatize çözümlerle tespit edilmekten kaçınmak ve insan etkileşiminin olasılığını artırmak.
- Cihaz ayrıntıları veya IP adresi gibi ek kullanıcı bilgilerinin toplanması.
Tycoon 2FA saldırıları, tespit edilmekten kaçınmanın yollarından biri olarak genellikle bir CAPTCHA zorluğu kullanır.
ANY.RUN sanal alanının etkileşimli yapısı sayesinde, saldırının bir sonraki aşamasına geçmek için sorunu manuel olarak çözebiliyoruz.
Yönlendirmeler aşamasında tehdidin ayrıca bir sandbox veya diğer güvenlik çözümlerinden gelen barındırma tabanlı trafiği tespit etmeye çalıştığını belirtmek önemlidir. Bunu httpbin gibi bir hizmet aracılığıyla yapar[.]org hedef IP’sini kontrol ederek.
Tycoon 2FA, barındırma trafiğini tespit ederse kullanıcıyı meşru bir sayfaya yönlendirir.
Bu anti-analiz mekanizmasını aşmak için ANY.RUN’da Residential Proxy özelliğini aktif hale getirebiliriz.
Son Kimlik Avı Sayfası
Tycoon 2FA’nın en önemli özelliklerinden biri de Microsoft’unkileri taklit eden dolandırıcılık sayfalarını ikna edici bir şekilde sunabilmesidir.
Sayfalar, gerçek giriş sayfasına birebir benzeyecek şekilde tasarlanıyor ve bu da kullanıcıların sahte ile gerçek olanı ayırt etmesini zorlaştırıyor.
Tehdit, daha da inandırıcı görünsün diye mailmeteor gibi meşru hizmetleri kullanıyor[.]com, kurbanın kuruluşuna uyacak şekilde giriş sayfasının arka planını ve logosunu değiştirmek için kullanılır (Örneğe bakın).
Bu kimlik avı kiti yalnızca kimlik bilgilerini çalmakla kalmıyor, ele geçirdiği bilgileri aktif olarak meşru Microsoft hizmetine iletiyor.
Kimlik bilgileri ve 2FA kodu doğruysa, Microsoft geçerli bir oturum çerezi oluşturur ve döndürür.
Tycoon 2FA oturum çerezini engelleyerek saldırganların kurbanın hesabını kontrol etmesini sağlıyor.
Tycoon 2FA Kampanyalarını Takip Etme
Tycoon 2FA saldırılarıyla ilgili e-postaları ve kimlik avı sayfalarını analiz etmenin yanı sıra, yeni ve devam eden kampanyaları da kullanarak takip edebilirsiniz. Tehdit İstihbarat Araması.
Hizmet, herkese açık ANY.RUN deneme oturumlarından çıkarılan, sürekli güncellenen tehdit verilerinin yer aldığı, aranabilir 2TB’lık bir veritabanına erişim sağlar.
İşte bir bir sorgu örneği Bu, tehdidin adını ve saldırganların birçok Tycoon 2FA kampanyasında kullanıcıları kimlik avı sayfalarına yönlendirmek için kullandıkları bir alan adını içerir.
Servis, Tycoon 2FA kimlik avı saldırılarının son örneklerine ilişkin 86 alan adı, 7 IP ve 85 görüntülenebilir ANY.RUN deneme oturumu döndürüyor.
ANY.RUN Sandbox ve Tehdit İstihbarat Aramasını deneyin
ANY.RUN’ın etkileşimli sanal alanının ve TI Lookup’ın kuruluşunuzun ortaya çıkan kötü amaçlı yazılım ve kimlik avı tehditlerini analiz etme ve araştırma yeteneklerini nasıl güçlendirebileceğini görün.
Bir talepte bulunun Tüm ekibiniz için 14 günlük ücretsiz deneme Hizmetlerin sunduğu her şeyi test etmek için.