Yakın zamanda ortaya çıkan bir Hizmet Olarak Kimlik Avı (PhaaS) platformu olan Tycoon 2FA, çok faktörlü kimlik doğrulamayı atlayarak kullanıcı oturumu çerezlerini çalmak için Ortadaki Düşman (AitM) tekniğinden yararlanan Microsoft 365 ve Gmail hesaplarını hedefler. (MFA) korumaları.
Tycoon 2FA, kullanıcı ile yasal giriş sayfası arasında aracı görevi görerek, ek güvenlik önlemleri uygulansa bile saldırganların güvenliği ihlal edilmiş hesaplara ve bulut hizmetlerine yetkisiz erişim sağlayan çerezleri yakalar.
Tycoon 2FA kimlik avı kiti, Mart 2024’te, özellikle güvenlik savunmalarını atlamak için tasarlanmış bir güncelleme aldı ve güncelleme, gizlenmiş JavaScript ve HTML kodu yoluyla kitin kaçırma yeteneklerini geliştirerek kodu okunamaz hale getirerek analizi engelledi.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Ek olarak güncelleme, dinamik kod oluşturmayı da içeriyordu; bu da kodun her yürütme sonrasında kendisini yeniden yazması anlamına geliyor; bu da kitin imza tabanlı güvenlik sistemleri tarafından tespit edilmesini önlemesine olanak tanıyor.
.webp)
Telegram’da Microsoft 365 ve Gmail kimlik bilgilerini hedefleyen önceden hazırlanmış kimlik avı sayfaları satıyor ve bu da kullanımı kolay şablonlar sunarak saldırganların teknik engelini azaltıyor.
.webp)
Saldırı, ters bir proxy aracılığıyla çalışır, oturum açma kimlik bilgilerini yakalar ve oturum açma sayfasını atlamak için bunları gerçek hizmete aktarır; saldırganlar, başarılı oturum açmalar sırasında döndürülen oturum çerezlerini çalar ve MFA etkin olsa bile yetkisiz erişime izin verir.
Çok faktörlü kimlik doğrulamayı (MFA) atlayarak kimlik bilgisi hırsızlığını kolaylaştırır ve saldırganlar, sahte kimlik doğrulama bağlantılarına sahip e-postalar, sesli posta temalı tehditler ve kimlik avı sayfalarına yönlendiren QR kodlu PDF’ler gibi çeşitli tuzaklar kullanır.
.webp)
Sayfalar genellikle meşru görünmek ve oturum açma kimlik bilgilerini ve MFA belirteçlerini çalmak için CAPTCHA’lar içerir. Proofpoint’teki güvenlik araştırmacıları, bu taktiklere dayanarak Tycoon açılış sayfalarını tespit etmek için kurallar belirlediler.
Yapay zeka destekli davranışsal analizler ve bir URL sanal alanı, Tycoon 2FA ile ilişkili kötü amaçlı açılış sayfalarını ve kimlik avı etkinliklerini ve şüpheli davranışları tanımak için tehdit istihbaratını makine öğrenimi ile birleştirerek elde edilen benzer tehditleri tanımlamak ve engellemek için kullanılır.
Küresel tehdit istihbaratı beslemeleri, kötü altyapı hakkında bilgi verir; bu, savunucuların bilinen ve yeni tehditleri daha ortaya çıkmadan önce durdurmasına yardımcı olur; bu da onları bulmayı, sorunları düzeltmeyi ve yeni kimlik avı teknikleri söz konusu olduğunda insan riskini yönetmeyi kolaylaştırır.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free