We use cookies to ensure that we give you the best experience on our website.

ハッカーはこの新しいフィッシング手法を使用して Gmail と Microsoft 365 アカウントを盗んでいます

「Tycoon 2FA」と呼ばれる、洗練された新しいサービスとしてのフィッシング プラットフォームは、多要素認証をバイパスし、Microsoft 365 および Gmail アカウントのログイン資格情報を盗むことができるため、サイバー犯罪者の間で人気を集めています。

クレジット: 123RF

研究者らは、昨年8月に新たな「ツールキット」が登場して以来、これを利用した何千件ものフィッシング攻撃を発見している。タイクーン 2FA は、2023年10月にサイバーセキュリティ企業セコイアのアナリストが定期的な脅威監視中に発見した。

しかし、「Saad Tycoon」脅威グループと考えられるフィッシング キットの運営者がすでに活動を開始していたことを示す証拠があります。数か月前にプライベート Telegram チャネルを通じて商業的に配布されました。

この新しいフィッシング手法はどのように機能するのでしょうか?

このキットは、Dadsec OTT などの他の中間者攻撃 (AitM) フィッシング プラットフォームと一部のコードを共有しているようです。これは、コードの再利用または開発者間のコラボレーションが原因である可能性があります。しかし、Tycoon 2FA は進化を続けました。2024 年初頭にリリースされる新しいバージョンでは、ステルス性が大幅に向上します。

Tycoon 2FA の核心は、Microsoft や Google の多要素認証プロンプトなど、正規のログイン フローを模倣するフィッシング サイトを使用して、攻撃者が認証 Cookie を盗むことを可能にします。これにより、攻撃者は被害者の多要素認証 (MFA) 応答とセッション トークンを密かに傍受することができます。認証されたセッションを再実行し、MFA を完全にバイパスします。

Sekoia の分析は、Tycoon 2FA フィッシング攻撃を複数段階のプロセスに分類しています。

  • このルアーは、電子メールや QR コードなどを介してフィッシング リンクを配布します。誰がユーザーをだまして偽のログインポータルにアクセスさせます。
  • Cloudflare Turnstile のようなボット フィルターでは、人間による対話のみが許可されます。
  • URL 分析によりターゲットの電子メールが抽出され、フィッシング攻撃がパーソナライズされます。
  • ユーザーは、フィッシング インフラストラクチャの奥深くに慎重にリダイレクトされます。
  • 現実的な Microsoft ログイン ページは、WebSocket の漏洩を介して資格情報をキャプチャします。
  • MFA の傍受ステップは、認証アプリケーションからワンタイム トークンまたはコードを吸い上げることによって 2FA を回避します。
  • ついに、攻撃の痕跡を隠すために、被害者には正当に見えるドメインが提示されます。

ハッカーはシステムを更新することでウイルス対策プログラムを回避します

2024 年にリリースされた Tycoon 2FA の最新バージョンには、ほとんどのウイルス対策ソフトウェアによる検出を回避できるようにするための多くの改善が含まれています。特に、ボット フィルタリング後の悪意のあるコンポーネントの回復を遅らせ、擬似ランダム URL を使用し、ユーザー エージェントとデータ センターの IP アドレスに基づいてトラフィック フィルタリングを改善します。

写真提供: 123RF

Sekoia が提供した証拠は、Tycoon 2FA を悪用する攻撃者が 1,100 を超えるドメインにわたる大規模なフィッシング インフラストラクチャを維持していることを示しています。ブロックチェーン分析により、グループのビットコインウォレットがフィッシングキットの販売に関連していることも判明は 2019 年 10 月以来、仮想通貨の支払いで約 40 万ドルを集めており、合計 1,800 件を超える取引が追跡されています。

研究者らは、Tycoon 2FA は、ますます飽和しつつあるサービスとしてのフィッシング犯罪市場に最近追加されたものにすぎないと指摘しています。多要素認証を破るための効果的なツールをサイバー犯罪者に提供します。LabHost、Greatness、Robin Banks など、多要素認証を回避するための他のフィッシング キットも、ここ 1 年でアンダーグラウンドの世界で悪名を轟かせました。

正規の企業がセキュリティの基盤として多要素認証を採用することが増えているため、この重要な制御を回避できるフィッシング キットはサイバー犯罪者にとって希少な商品となっています。彼らの継続的な進化は、企業の資格情報とデータに対する重大なリスク。

Tycoon 2FA や同様のフィッシング脅威から身を守るために、企業は次のことを行う必要があります。不審なログイン ポータルと MFA プロンプトを特定するためのユーザー トレーニングを強化します。疑わしい認証イベントや侵害された可能性のあるアカウントを監視することも重要です。物理セキュリティ キーや FIDO トークンなどの追加の MFA 要素を有効にすることも役立ちます。ワンタイムコードの傍受を目的とした高度なフィッシング攻撃によってもたらされるリスクの一部を軽減します。

Also Read