تكتسب منصة التصيد الاحتيالي الجديدة المتطورة كخدمة، والتي يطلق عليها اسم "Tycoon 2FA"، شعبية بين مجرمي الإنترنت نظرًا لقدرتها على تجاوز المصادقة متعددة العوامل وسرقة بيانات اعتماد تسجيل الدخول لحسابات Microsoft 365 وGmail.
اكتشف الباحثون الآلاف من هجمات التصيد الاحتيالي باستخدام "مجموعة أدوات" جديدة منذ ظهورها في أغسطس الماضي. لقد كان قطب 2FAاكتشفه محللون في شركة Sekoia للأمن السيبراني أثناء المراقبة الروتينية للتهديدات في أكتوبر 2023.
ومع ذلك، تشير الأدلة إلى أن مشغلي مجموعة التصيد الاحتيالي، التي يُعتقد أنها مجموعة التهديد "سعد تايكون"، قد بدأوا بالفعلتم توزيعها تجاريًا عبر قنوات Telegram الخاصة منذ بضعة أشهر.
كيف تعمل طريقة التصيد الجديدة هذه؟
يبدو أن المجموعة تشارك بعض التعليمات البرمجية مع منصات التصيد الاحتيالية الأخرى (AitM) مثل Dadsec OTT، والذي قد يكون بسبب إعادة استخدام التعليمات البرمجية أو التعاون بين المطورين. لكن Tycoon 2FA استمر في التطورتم إصدار الإصدار الجديد في أوائل عام 2024 والذي يقدم تحسينات كبيرة في التخفي.
في جوهره، يسمح Tycoon 2FA للجهات الفاعلة في مجال التهديد بسرقة ملفات تعريف الارتباط للمصادقة باستخدام مواقع التصيد الاحتيالي التي تحاكي تدفقات تسجيل الدخول المشروعة - بما في ذلك مطالبات المصادقة متعددة العوامل من Microsoft وGoogle. يسمح هذا للمهاجم باعتراض استجابة المصادقة متعددة العوامل (MFA) الخاصة بالضحية ورموز الجلسة بشكل سري، ثمإعادة تشغيل جلسة مصادق عليها وتجاوز MFA بالكامل.
يقوم تحليل Sekoia بتقسيم هجمات التصيد الاحتيالي Tycoon 2FA إلى عملية متعددة الخطوات:
- تقوم هذه الإغراءات بتوزيع روابط التصيد الاحتيالي عبر رسائل البريد الإلكتروني ورموز QR وما إلى ذلك. منخداع المستخدمين للذهاب إلى بوابات تسجيل الدخول المزيفة.
- تسمح مرشحات الروبوتات مثل Cloudflare Turnstile بالتفاعل البشري فقط.
- يقوم تحليل عنوان URL باستخراج البريد الإلكتروني للهدف لتخصيص هجوم التصيد الاحتيالي.
- تتم إعادة توجيه المستخدمين بشكل سري إلى عمق البنية التحتية للتصيد الاحتيالي.
- تلتقط صفحة تسجيل دخول Microsoft الواقعية بيانات الاعتماد عبر عملية استخراج WebSocket.
- تتحايل خطوة اعتراض MFA على 2FA عن طريق سحب الرموز المميزة أو الرموز لمرة واحدة من تطبيق المصادقة.
- أخيراً،يتم تقديم نطاق يبدو شرعيًا للضحايا لإخفاء آثار الهجوم.
يتجنب المتسللون برامج مكافحة الفيروسات عن طريق تحديث النظام
يتضمن الإصدار الأخير من Tycoon 2FA، الذي تم إصداره عام 2024، العديد من التحسينات التي تسمح له بتجنب اكتشافه بواسطة معظم برامج مكافحة الفيروسات. وعلى وجه الخصوص، فهو يؤخر استعادة المكونات الضارة بعد تصفية الروبوتات، ويستخدم عناوين URL العشوائية الزائفة، ويحسن تصفية حركة المرور استنادًا إلى وكلاء المستخدم وعناوين IP لمركز البيانات.
تشير الأدلة المقدمة من Sekoia إلى أن الجهات الفاعلة في مجال التهديد التي تستغل Tycoon 2FA تحتفظ ببنية تحتية واسعة النطاق للتصيد الاحتيالي تمتد لأكثر من 1100 نطاق. يكشف تحليل Blockchain أيضًا أن محفظة Bitcoin الخاصة بالمجموعة مرتبطة بمبيعات أدوات التصيد الاحتياليجمعت ما يقرب من 400000 دولار أمريكي من مدفوعات العملات المشفرة منذ أكتوبر 2019، مع تتبع أكثر من 1800 معاملة إجمالية.
لاحظ الباحثون أن Tycoon 2FA ما هو إلا إضافة حديثة إلى سوق جرائم التصيد الاحتيالي المشبع بشكل متزايد كخدمة،تزويد مجرمي الإنترنت بأدوات فعالة للتغلب على المصادقة متعددة العوامل.كما اكتسبت مجموعات التصيد الاحتيالي الأخرى لتجاوز المصادقة متعددة العوامل، مثل LabHost وGreatness وRobin Banks، سمعة سيئة في العالم السري خلال العام الماضي.
مع اعتماد الشركات الشرعية بشكل متزايد على المصادقة متعددة العوامل كأساس للأمن، أصبحت مجموعات التصيد الاحتيالي القادرة على تجاوز هذا التحكم الحاسم سلعة نادرة لمجرمي الإنترنت. يمثل تطورهم المستمرخطر جسيم على بيانات اعتماد الشركة وبياناتها.
للحماية من Tycoon 2FA وتهديدات التصيد الاحتيالي المماثلة، ينبغي على الشركات القيام بذلكتكثيف تدريب المستخدمين على تحديد بوابات تسجيل الدخول المشبوهة ومطالبات MFA.ومن الضروري أيضًا مراقبة أحداث المصادقة المشبوهة والحسابات التي يحتمل أن تكون معرضة للخطر. يمكن أن يساعد أيضًا تمكين عوامل MFA الإضافية، مثل مفاتيح الأمان الفعلية أو رموز FIDO المميزةالتخفيف من بعض المخاطر التي تشكلها هجمات التصيد الاحتيالي المتقدمة التي تهدف إلى اعتراض الرموز التي تستخدم لمرة واحدة.