Beveiligingsonderzoekers zien een flinke toename van het gebruik van de phishing-tool Tycoon 2FA. Met die malafide softwaredienst omzeilen criminelen de tweefactor-authenticatie van Microsoft 365- en Gmail-accounts om vervolgens de inloggevens over te nemen en toegang te krijgen tot accounts.
Sinds er begin van dit jaar een nieuwe versie van Tycoon 2FA beschikbaar is, nemen de aanvallen toe. Dat stellen security-analisten van de Franse ict-beveiliger Sekoia. Ze ontdekten de tool eind 2023, trokken aan de bel en waarschuwen nu voor de nieuwe versie van die malafide tool die via privé-Telegram-kanalen wordt verkocht. Tycoon 2FA lijkt op andere zogenoemde adversary-in-the-middle-platforms, zoals Dadsec OTT. Ook die sluizen inloggegevens door naar een andere server. De gelijkenissen wijzen mogelijk op het delen van code of een samenwerking tussen ontwikkelaars.
In een artikel op securitynieuwssite Bleeping Computer deelt Sekoia de zeven stappen waaruit de aanval met Tycoon 2FA is opgebouwd. Daarin staat dat de dreigingsactor sessiecookies steelt met behulp van een reverse proxy-server die de phishing-webpagina host.
JavaScript
Momenteel maakt de dienst gebruik van ruim duizend domeinen en is waargenomen bij duizenden phishing-aanvallen. Wijzigingen in de nieuwste versie zijn updates van de JavaScript- en html-code. Ook zijn wijzigingen in de volgorde van het ophalen van bronnen en uitgebreidere filtering om verkeer van bots en analytische tools te blokkeren, doorgevoerd.
Sekoia concludeert ook aan de hand van de toegenomen geldstromen naar de cryptorekening van de bende achter Tycoon 2FA – te weten de Saad Tycoon-groep – dat de aanvallen fors zijn gestegen. De aan deze groep gekoppelde bitcoin-portemonnee heeft sinds oktober 2019 meer dan 1.800 transacties geregistreerd, met een toename vanaf augustus 2023, de maand dat de kit werd gelanceerd. Omgerekend wordt er voor een phishing-link die tien dagen geldig is 120 dollar gevraagd. Medio maart stond er al voor een waarde van bijna vierhonderdduizend dollar aan cryptovaluta op die rekening.
Monitoring van gelekte inloggegevens
Het Utrechtse cybersecuritybedrijf CCVT (Centrum voor Cybersecurity Veiligheid en Technologie) gaat in een persbericht ook in op de aanvallen op de multifactor-authenticatie van Google- en Microsoft 365-accounts. Het meldt dat het monitoren van gelekte inloggegevens de gevolgen van die phisingsaanvallen kan verkleinen. ‘Door voortdurend toezicht te houden op verschillende bronnen, waaronder het darkweb en berichtenapps zoals Telegram, kunnen gelekte inloggegevens worden opgespoord, voordat ze worden misbruikt.’
Die proactieve benadering moet bedrijven en organisaties helpen om te anticiperen op potentiële aanvallen. Ze kunnen dan snel maatregelen nemen om hun systemen en gegevens te beschermen. ‘In plaats van zich te verschuilen achter het idee dat multifactor-authenticatie voldoende bescherming biedt, is het tijd voor organisaties om proactief te handelen en zich te wapenen met geavanceerde beveiligingsmaatregelen en daarmee continuïteit in het monitoren te waarborgen’, luidt het advies van CCVT.
