Tycoon 2FA phishing kit hiện là một trong những mối đe dọa mạng phức tạp nhất nhắm vào các môi trường doanh nghiệp. Nền tảng Phishing-as-a-Service (PhaaS) này, xuất hiện vào tháng 8 năm 2023, đã trở thành đối thủ đáng gờm đối với an ninh tổ chức.

Nó sử dụng các kỹ thuật né tránh tiên tiến và chiến lược Adversary-in-the-Middle (AiTM) để vượt qua các biện pháp bảo vệ xác thực đa yếu tố.

Tycoon 2FA: Kỹ Thuật Phishing-as-a-Service Nâng Cao

Sự Phát Triển và Tầm Ảnh Hưởng của Tycoon 2FA

Theo công cụ theo dõi xu hướng mã độc Any.run, Tycoon 2FA dẫn đầu với hơn 64.000 sự cố được báo cáo trong năm nay. Điều này biến nó thành mối quan tâm cấp thiết cho các đội ngũ bảo mật quản lý triển khai Microsoft 365 và Gmail.

Chiến dịch Tycoon 2FA khai thác máy chủ reverse proxy để lưu trữ các trang lừa đảo giả mạo. Các trang này mô phỏng tỉ mỉ giao diện đăng nhập hợp pháp, tăng khả năng đánh lừa người dùng.

Để tìm hiểu thêm về cách thức hoạt động của Tycoon 2FA, bạn có thể tham khảo phân tích chi tiết từ Cybereason tại Cybereason Blog.

Cơ Chế Adversary-in-the-Middle (AiTM)

Phương pháp Adversary-in-the-Middle (AiTM) này cho phép kẻ tấn công thu thập thông tin đăng nhập và cookie phiên của người dùng trong thời gian thực. Đồng thời, nó vượt qua các biện pháp bảo vệ xác thực hai yếu tố.

Cuộc tấn công mạng diễn ra qua một quy trình nhiều giai đoạn phức tạp. Nó bắt đầu bằng việc phân phối liên kết lừa đảo qua các tệp PDF, SVG, bản trình bày PowerPoint, email và các trang web độc hại.

Kẻ tấn công cũng bắt đầu khai thác các Amazon S3 buckets để lưu trữ các trang đăng nhập giả mạo. Các nền tảng như Canva và Dropbox cũng được lợi dụng để thu thập thông tin xác thực.

Tạo Trang Đăng Nhập Động

Điều làm cho Tycoon 2FA đặc biệt nguy hiểm là khả năng tạo động các trang đăng nhập giả mạo. Các trang này dựa trên phản hồi từ các máy chủ Microsoft hợp pháp.

Khi nạn nhân nhập thông tin đăng nhập, kẻ tấn công nhận được thông tin này ngay lập tức. Sau đó, chúng sử dụng nó để gửi yêu cầu đăng nhập mới đến máy chủ thực của Microsoft.

Trang lừa đảo sẽ cập nhật động dựa trên phản hồi của máy chủ, tạo ra trải nghiệm liền mạch. Trải nghiệm này bắt chước sát sao quá trình đăng nhập chính hãng, làm tăng đáng kể khả năng thành công của việc đánh cắp thông tin xác thực.

Ngay cả những người dùng có ý thức bảo mật cao cũng khó lòng phân biệt được.

Cơ Chế Né Tránh Phát Hiện của Tycoon 2FA

Các Lớp Bảo Vệ Chống Phân Tích

Tycoon 2FA tích hợp nhiều lớp cơ chế chống phát hiện. Các cơ chế này được thiết kế để ngăn chặn các nhà nghiên cứu bảo mật phân tích bộ kit lừa đảo.

Trang HTML ban đầu bao gồm một tệp JavaScript với payload được mã hóa base64. Payload này được nén bằng thuật toán LZ-string, khiến việc phân tích thủ công trở nên khó khăn.

Cuộc tấn công bắt đầu với các kiểm tra trước khi chuyển hướng. Bao gồm xác minh miền, thách thức CAPTCHA, phát hiện bot và nhận dạng trình gỡ lỗi.

Những biện pháp phòng thủ này đảm bảo rằng chỉ các mục tiêu hợp pháp mới trở thành nạn nhân của các trang lừa đảo. Trong khi đó, các công cụ quét bảo mật tự động sẽ bị chuyển hướng đến các trang web lành tính.

Kỹ Thuật “DOM Vanishing Act”

Payload độc hại sử dụng một kỹ thuật được gọi là “DOM Vanishing Act” để tránh bị các công cụ bảo mật phát hiện. Mã JavaScript tự loại bỏ khỏi Document Object Model (DOM) sau khi thực thi. Điều này không để lại dấu vết rõ ràng cho các giải pháp bảo mật dựa trên kiểm tra.

Mã này sử dụng nhiều kỹ thuật che giấu chức năng. Bao gồm mã hóa base64, mã hóa XOR và mã hóa CryptoJS để che giấu chức năng của nó.

Ngoài ra, script còn chủ động giám sát sự hiện diện của trình gỡ lỗi. Bằng cách kiểm tra các lần nhấn phím cụ thể kích hoạt mô-đun gỡ lỗi trình duyệt và theo dõi thời gian hoạt động của công cụ gỡ lỗi.

Vượt Qua Xác Thực Đa Yếu Tố (MFA) với Tycoon 2FA

Phương Pháp Hoạt Động của AiTM trong MFA

Sức mạnh thực sự của Tycoon 2FA nằm ở khả năng thu thập mã xác thực đa yếu tố (MFA) trong thời gian thực. Khi nạn nhân nhập thông tin đăng nhập của họ vào trang lừa đảo, kẻ tấn công đóng vai trò man-in-the-middle.

Kẻ tấn công truyền các thông tin đăng nhập đó đến máy chủ Microsoft hợp pháp. Trình duyệt của nạn nhân sau đó nhận được phản hồi yêu cầu mã MFA của họ.

Bộ kit lừa đảo chuyển tiếp mã MFA này trực tiếp đến máy chủ của Microsoft. Điều này thực sự bỏ qua lớp bảo mật quan trọng này và cấp cho kẻ tấn công toàn quyền truy cập vào tài khoản bị xâm nhập.

Thu Thập Thông Tin Tình Báo và Dữ Liệu Hệ Thống

Cuộc tấn công Tycoon 2FA kết hợp việc thu thập thông tin tình báo cụ thể của tổ chức. Bằng cách phân tích các thông báo lỗi từ quá trình đăng nhập, kẻ tấn công có thể hiểu chính sách bảo mật độc đáo và cấu hình email của tổ chức.

Khả năng kỹ thuật đảo ngược này cho phép các tác nhân đe dọa hiểu được các chính sách bảo mật và cấu hình email riêng của một tổ chức. Điều này giúp họ thực hiện các chiến dịch lừa đảo tiếp theo nhắm mục tiêu cao vào các tài khoản giá trị cao khác.

Hơn nữa, payload cuối cùng thu thập thông tin hệ thống nhạy cảm. Bao gồm chuỗi tác nhân người dùng (user agent strings) và dữ liệu vị trí địa lý. Thông tin này được mã hóa bằng CryptoJS và truyền đến các máy chủ Command-and-Control (C2) do kẻ tấn công kiểm soát.

Biện Pháp Phòng Ngừa và Tăng Cường An Ninh Mạng

Khuyến Nghị Bảo Mật Tổ Chức

Các tổ chức sử dụng Microsoft 365 và Gmail nên triển khai các chính sách truy cập có điều kiện. Các chính sách này yêu cầu xác thực chỉ từ các vị trí đáng tin cậy.

Ngoài ra, việc triển khai các hệ thống phát hiện mối đe dọa nâng cao là rất quan trọng. Các hệ thống này phải có khả năng xác định các trang lừa đảo và giám sát các mẫu xác thực đáng ngờ.

Ưu tiên đào tạo nâng cao nhận thức người dùng tập trung vào lừa đảo thông tin xác thực và rủi ro khi nhập mã MFA trên các trang không quen thuộc. Bên cạnh đó, việc triển khai các giải pháp xác thực không mật khẩu sẽ loại bỏ hoàn toàn mối đe dọa.