ハッカーはこの新しいフィッシング手法を使用して Gmail と Microsoft 365 アカウントを盗んでいます

「Tycoon 2FA」と呼ばれる、洗練された新しいサービスとしてのフィッシング プラットフォームは、多要素認証をバイパスし、Microsoft 365 および Gmail アカウントのログイン資格情報を盗むことができるため、サイバー犯罪者の間で人気を集めています。

クレジット: 123RF

研究者らは、昨年8月に新たな「ツールキット」が登場して以来、これを利用した数千件のフィッシング攻撃を発見している。タイクーン 2FA は、2023年10月にサイバーセキュリティ企業セコイアのアナリストが定期的な脅威監視中に発見した。

しかし、「Saad Tycoon」脅威グループと考えられるフィッシング キットの運営者がすでに活動を開始していたことを示す証拠があります。数か月前にプライベート Telegram チャネルを通じて商業的に配布されました。

この新しいフィッシング手法はどのように機能するのでしょうか?

このキットは、Dadsec OTT などの他の中間者攻撃 (AitM) フィッシング プラットフォームと一部のコードを共有しているようです。これは、コードの再利用または開発者間のコラボレーションが原因である可能性があります。しかし、Tycoon 2FA は進化を続けました。2024 年初頭にリリースされる新しいバージョンでは、ステルス性が大幅に向上します。

Tycoon 2FA の核心は、Microsoft や Google の多要素認証プロンプトなど、正規のログイン フローを模倣するフィッシング サイトを使用して、攻撃者が認証 Cookie を盗むことを可能にします。これにより、攻撃者は被害者の多要素認証 (MFA) 応答とセッション トークンを密かに傍受することができます。認証されたセッションを再実行し、MFA を完全にバイパスします。

Sekoia の分析は、Tycoon 2FA フィッシング攻撃を複数段階のプロセスに分類しています。

  • このルアーは、電子メールや QR コードなどを介してフィッシング リンクを配布します。誰がユーザーをだまして偽のログインポータルにアクセスさせます。
  • Cloudflare Turnstile のようなボット フィルターでは、人間による対話のみが許可されます。
  • URL 分析によりターゲットの電子メールが抽出され、フィッシング攻撃がパーソナライズされます。
  • ユーザーは、フィッシング インフラストラクチャの奥深くに慎重にリダイレクトされます。
  • 現実的な Microsoft ログイン ページは、WebSocket の漏洩を介して資格情報を取得します。
  • MFA の傍受ステップは、認証アプリケーションからワンタイム トークンまたはコードを吸い上げることによって 2FA をバイパスします。
  • ついに、攻撃の痕跡を隠すために、被害者には正当に見えるドメインが提示されます。

ハッカーはシステムを更新することでウイルス対策プログラムを回避します

2024 年にリリースされた Tycoon 2FA の最新バージョンには、ほとんどのウイルス対策ソフトウェアによる検出を回避できるようにするための多くの改善が含まれています。特に、ボット フィルタリング後の悪意のあるコンポーネントの回復を遅らせ、擬似ランダム URL を使用し、ユーザー エージェントとデータ センターの IP アドレスに基づいてトラフィック フィルタリングを改善します。

写真提供: 123RF

Sekoia が提供した証拠は、Tycoon 2FA を悪用する攻撃者が 1,100 を超えるドメインにわたる大規模なフィッシング インフラストラクチャを維持していることを示しています。ブロックチェーン分析により、グループのビットコインウォレットがフィッシングキットの販売に関連していることも判明は 2019 年 10 月以来、仮想通貨の支払いで約 40 万ドルを集めており、合計 1,800 件を超える取引が追跡されています。

研究者らは、Tycoon 2FA は、ますます飽和しつつあるサービスとしてのフィッシング犯罪市場に最近追加されたものにすぎないと指摘しています。多要素認証を破るための効果的なツールをサイバー犯罪者に提供します。LabHost、Greatness、Robin Banks など、多要素認証を回避するための他のフィッシング キットも、ここ 1 年でアンダーグラウンドの世界で悪名を轟かせました。