Tycoon 2FA es una plataforma de phishing como servicio (PhaaS) que se estrenó en agosto de 2023. Como muchos otros kits de phishing, elude protecciones de autenticación multifactor (MFA) y supone una amenaza significativa para los usuarios. En los últimos tiempos, Tycoon 2FA ha acaparado atención por la aparición de campañas diseñadas para atacar cuentas de Microsoft 365 y Gmail.
La plataforma funciona con la técnica de phishing AiTM (adversario en el medio) para recopilar cookies de sesión, como sucede con muchos kits. Los ciberatacantes usan las cookies para burlar los controles de acceso MFA en una autenticación posterior. Así consiguen entrar de manera no autorizada a cuentas, sistemas y servicios en cloud, incluso de personas que disponen de medidas de seguridad adicionales.
Desde finales de 2023
Los expertos del equipo de investigación de amenazas de Proofpoint, Tycoon 2FA está basado en una infraestructura controlada por el atacante para alojar la página web de phishing. Gracias el uso de un proxy inverso, la plataforma permite la interceptación de las credenciales de las víctimas. Después son transmitidas al servicio legítimo para conseguir un comienzo de sesión exitoso y transparente, generando solicitudes de MFA. No sirve de nada, porque las cookies de sesión resultantes se transmiten a los ciberdelincuentes involucrados.
Se han detectado páginas de destino de phishing con Tycoon 2FA para robar y eludir tokens MFA desde finales de 2023. Las técnicas utilizadas por los cibermalos incluyen los enlaces maliciosos o archivos PDF con códigos QR enviados a través de email para dirigirlas a páginas falsas o ataques realizados a través de buzones de voz. Los señuelos van desde asuntos relacionados con bonificaciones y aumentos de nómina en empresas a actualizaciones falsas.
120 dólares por diez días
“El grupo cibercriminal detrás de Tycoon 2FA vende páginas de phishing listas para usar con Microsoft 365 y Gmail en Telegram, con unos precios desde unos 120 dólares por diez días de acceso al servicio. Un modelo de negocio que amplía el número potencial de atacantes, porque permite que actores menos capacitados técnicamente lancen sofisticados ataques de phishing”, destacan los investigadores de Proofpoint.
El pasado mes de marzo se puso en circulación una versión actualizada del kit Tycoon 2FA con capacidades mejoradas que dificultan todavía más su identificación por parte de los sistemas de seguridad. Los cambios significativos en el código JavaScript y HTML aportan mayor sigilo y eficacia a los ciberdelincuentes.
Prevención
Del lado de la ciberdefensa, se lleva detectando y bloqueando la actividad asociada con servicios de proxy inverso algún tiempo, incluyendo las plataformas Evilginx y EvilProxy. Muchos atacantes siguen utilizando kits de phishing simples que no están concebidos para eludir MFA, aunque el uso de herramientas capaces de robar tokens de sesión está aumentando entre actores de phishing e intermediarios de acceso inicial (IAB).
Para la prevención contra Tycoon 2FA, se está poniendo el foco en soluciones combinadas de IA conductual, inteligencia sobre amenazas y concienciación de seguridad. Los análisis de comportamiento pueden contribuir a identificar y bloquear las páginas de destino de Tycoon 2FA, así como la actividad de phishing, mientras que una mayor visibilidad concederá información para identificar amenazas conocidas y otras emergentes.