Siber güvenlik araştırmacıları, kötü şöhretli Tycoon 2FA kimlik avı kitini hileli zaman çizelgesi bildirim e-postaları aracılığıyla dağıtan ve çok katmanlı kimlik hırsızlık operasyonlarında ilgili bir evrimi işaretleyen yeni bir kimlik avı kampanyası ortaya çıkardılar.
Operasyon, Pinterest’in görsel yer imi hizmetini bir aracı olarak kullanıyor ve saldırganların geleneksel e -posta güvenlik filtrelerini atlamada artan sofistike olduğunu gösteriyor.
Kampanya Mekaniği ve Teslimat Vektörü
Kampanya, kurumsal ortamlarda zaman çizelgesi sistemlerinin neredeyse evrensel kullanımı göz önüne alındığında, yüksek etkili bir sosyal mühendislik taktiği otomatik zaman çizelgesi raporları olarak gizlenmiş profesyonel olarak hazırlanmış e-postalarla başlıyor.
Bu mesajlar, alıcıları gömülü “inceleme” düğmelerini tıklamaya baskı yapmak için bordro işleme hataları veya onay son tarihleri hakkında acil bir dil kullanır.
Geleneksel kimlik avı bağlantılarından farklı olarak, kötü amaçlı URL’ler önce bir Pinterest alt alanına yönlendirilir (pin.it/7fwoyihso) kurbanları, tehlikeye atılan bir Rus alanında barındırılan son yüke huni yapmadan önce (8a.nextwavxe.ru).
Bu çok aşamalı dağıtım zinciri ikili amaçlara hizmet eder: Pinterest’in iyi huylu bir platform olarak itibarı, e-posta ağ geçidi algılamasından kaçmaya yardımcı olurken, ara hop hem kullanıcılardan hem de güvenlik tarayıcılarından nihai kötü amaçlı hedefi gizler.
SpiderLabs analistleri, X platformlarında son yükün, hem kimlik bilgilerini hem de zaman tabanlı tek seferlik parolaları (TOTP) ele geçirebilen hızla gelişen bir Hizmet Olarak Kimlik Avı (PHAAS) kiti olan Tycoon 2FA’yı dağıttığını doğruladı.
Tycoon 2FA’nın teknik evrimi
Tycoon çerçevesinin son yinelemeleri, aşağıdakileri içeren gelişmiş önleme önleme özelliklerini içerir:
- Gizlenmiş JavaScript her dağıtımda yük imzalarını morphleyen
- Coğrafi kaplama Siber Güvenlik Analisti Hotspots’tan erişimi engelleyen yetenekler
- Uyarlanabilir form tasarımı Meşru Microsoft 365/Azure Oturum Açma Portallarını taklit etmek
Kit şimdi Salesforce, Workday ve çeşitli bankacılık portalları için gözlemlenen şablonlar ile orijinal Microsoft 365 odağının ötesinde çok platform kimlik bilgisi hasatını desteklemektedir.
Bu genişleme, ayrıcalıklı ağ erişimi arayan fidye yazılımı iştirakleriyle operatör işbirliğini önermektedir.
Pinterest ara taktiği, saldırı altyapısı için meşru bulut hizmetlerini kötüye kullanmaya yönelik daha geniş bir kaymayı yansıtıyor.
Tehdit aktörleri, yerleşik TLS sertifikaları ve temiz alan itibarları ile platformlardan giderek daha fazla yararlanıyor:
- Bypass Güvenli E -posta Ağ Geçidi (SEG) URL Analizi
- Tarayıcı tabanlı kimlik avı korumalarını yenmek
- Kolayca değiştirilebilir yönlendiriciler yoluyla operasyonel esnekliği koruyun
2FA benimseme küresel olarak arttıkça, tehdit aktörleri araç seti tekniklerini geliştirmeye devam ediyor.
Tycoon kampanyası, siber suçluların meşru kurumsal iş akışlarıyla sorunsuz bir şekilde karışan ve geleneksel çevre savunmalarını yetersiz kılan altyapıya nasıl yatırım yaptığını gösteriyor.
Kuruluşlar, davranış temelli algılama sistemlerini benimsemeli ve bu gelişen kimlik bilgisi hırsızlığı operasyonlarından riskleri azaltmak için en az ayrıcalık erişim modelleri ilkesini uygulamalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free