Siber suçlular, Microsoft 365 ve Gmail hesaplarını hedeflemek ve iki faktörlü kimlik doğrulama (2FA) korumasını atlamak için 'Tycoon 2FA' adlı yeni bir hizmet olarak kimlik avı (PhaaS) platformunu giderek daha fazla kullanıyor.
Tycoon 2FA, Sekoia analistleri tarafından Ekim 2023'te rutin tehdit avı sırasında keşfedildi, ancak Saad Tycoon grubunun özel Telegram kanalları aracılığıyla sunduğu en az Ağustos 2023'ten beri aktif.
PhaaS kiti, Dadsec OTT gibi diğer ortadaki rakip (AitM) platformlarıyla benzerlikler paylaşıyor ve olası kodun yeniden kullanımını veya geliştiriciler arasında işbirliğini öneriyor.
2024 yılında Tycoon 2FA, kiti geliştirmek için sürekli çaba sarf edildiğini gösteren, daha gizli yeni bir sürüm yayınladı. Şu anda hizmet 1.100 alan adından yararlanıyor ve binlerce kimlik avı saldırısında gözlemlendi.
Tycoon 2FA saldırıları
Tycoon 2FA saldırıları, tehdit aktörünün, kurbanın girişini kesen ve bunları meşru hizmete aktaran, kimlik avı web sayfasını barındıran bir ters proxy sunucusu kullanarak oturum çerezlerini çaldığı çok adımlı bir süreci içerir.
Skoia, “Kullanıcı MFA sorgulamasını tamamladığında ve kimlik doğrulama başarılı olduğunda, ortadaki sunucu oturum çerezlerini yakalar” diye açıklıyor. Bu şekilde saldırgan, kullanıcının oturumunu yeniden oynatabilir ve çok faktörlü kimlik doğrulama (MFA) mekanizmalarını atlayabilir.
Sekoia'nın raporu, saldırıları aşağıda belirtildiği gibi yedi ayrı aşamada anlatıyor:
- Aşama 0 – Saldırganlar, gömülü URL'ler veya QR kodları içeren e-postalar aracılığıyla kötü amaçlı bağlantılar dağıtarak kurbanları kimlik avı sayfalarına erişmeleri için kandırır.
- 1. Aşama – Bir güvenlik sorunu (Cloudflare Turnstile), botları filtreleyerek aldatıcı kimlik avı sitesine yalnızca insan etkileşimlerinin ilerlemesine izin verir.
- 2. aşama – Arka plan komut dosyaları, kimlik avı saldırısını özelleştirmek için kurbanın e-postasını URL'den çıkarır.
- Sahne 3 – Kullanıcılar sessizce kimlik avı sitesinin başka bir bölümüne yönlendirilerek sahte giriş sayfasına yaklaştırılır.
- Aşama 4 – Bu aşamada, veri hırsızlığı için WebSockets kullanılarak kimlik bilgilerinin çalınmasına yönelik sahte bir Microsoft oturum açma sayfası sunulur.
- Aşama 5 – Kit, 2FA jetonunu ele geçirerek veya güvenlik önlemlerini atlamak için yanıt vererek 2FA mücadelesini taklit eder.
- Aşama 6 – Son olarak kurbanlar meşru görünen bir sayfaya yönlendirilir ve bu da kimlik avı saldırısının başarısını gizler.
Saldırıya genel bir bakış, sürecin tüm adımlarını içeren aşağıdaki şemada anlatılmıştır.
Evrim ve ölçek
Sekoia, bu yıl piyasaya sürülen Tycoon 2FA kimlik avı kitinin en son sürümünün, kimlik avı ve saldırı yeteneklerini geliştiren önemli değişiklikler getirdiğini bildirdi.
Önemli değişiklikler arasında JavaScript ve HTML kodundaki güncellemeler, kaynak alma sırasındaki değişiklikler ve botlardan ve analitik araçlardan gelen trafiği engellemek için daha kapsamlı filtreleme yer alıyor.
Örneğin, kit artık kötü amaçlı kaynakların yüklenmesini Cloudflare Turnike sorunu çözülene kadar erteliyor ve URL'lerin faaliyetlerini gizlemek için sahte rastgele adlar kullanıyor.
Ayrıca Tor ağ trafiği veya veri merkezlerine bağlı IP adresleri artık daha iyi tanımlanıyor ve trafik belirli kullanıcı aracısı dizelerine göre reddediliyor.
Operasyonların ölçeğiyle ilgili olarak Sekoia, siber suçluların geniş bir kullanıcı tabanının kimlik avı operasyonları için Tycoon 2FA'yı kullandığına dair kanıtlar bulunduğundan bunun önemli olduğunu belirtiyor.
Operatörlere bağlı Bitcoin cüzdanı, Ekim 2019'dan bu yana 1.800'den fazla işlem kaydetti; kitin piyasaya sürüldüğü Ağustos 2023'ten itibaren kayda değer bir artış yaşandı.
530'dan fazla işlem, 10 günlük bir kimlik avı bağlantısının giriş fiyatı olan 120 doların üzerinde gerçekleşti. Mart 2024'ün ortalarında, tehdit aktörlerinin cüzdanına toplam 394.015 dolar değerinde kripto para gelmişti.
Tycoon 2FA, siber suçlulara halihazırda birçok seçenek sunan PhaaS alanına yeni eklenen bir özellik. 2FA korumalarını atlayabilen diğer önemli platformlar arasında LabHost, Greatness ve Robin Banks yer alıyor.
Tycoon 2FA operasyonuyla bağlantılı risk göstergelerinin (IoC'ler) bir listesi için Sekoia, 50'den fazla giriş içeren bir depoyu kullanıma sunuyor.