Cyberkriminelle setzen zunehmend auf die neue Phishing-as-a-Service (PhaaS)-Plattform „Tycoon 2FA“, die speziell darauf ausgerichtet ist, Microsoft 365- und Gmail-Konten ins Visier zu nehmen und die Schutzmaßnahmen der Zwei-Faktor-Authentifizierung (2FA) zu umgehen.
Entdeckt wurde Tycoon 2FA von Analysten bei Sekoia im Oktober 2023 während routinemäßiger Bedrohungsjagden, aber die Aktivitäten der damit verbundenen Gruppe „Saad Tycoon“ lassen sich bereits bis August 2023 zurückverfolgen. Sie boten das Kit über private Telegram-Kanäle an.
Dieses PhaaS-Kit weist Ähnlichkeiten mit anderen Adversary-in-the-Middle (AitM)-Plattformen wie „Dadsec OTT“ auf, was auf eine mögliche Wiederverwendung von Code oder eine Zusammenarbeit zwischen den Entwicklern hindeutet.
Angriffe mit Tycoon 2FA erfolgen in mehreren Schritten: Die Angreifer stehlen Sitzungscookies, indem sie einen Reverse-Proxy-Server verwenden, der die Phishing-Webseite hostet. Dieser Server fängt die Eingaben des Opfers ab und leitet sie an den legitimen Dienst weiter. Sobald der Benutzer die MFA-Herausforderung erfolgreich absolviert hat, fängt der Server in der Mitte die Sitzungscookies ab. Auf diese Weise kann der Angreifer die Multi-Faktor-Authentifizierung umgehen und auf das Benutzerkonto zugreifen.
Die neueste Version des Tycoon 2FA-Phishing-Kits wurde 2024 mit bedeutenden Änderungen veröffentlicht, die die Phishing- und Ausweichfähigkeiten verbessern. Zu den Änderungen gehören Updates des JavaScript- und HTML-Codes, Änderungen in der Reihenfolge des Ressourcenabrufs und eine umfassendere Filterung, um den Verkehr von Bots und Analysewerkzeugen zu blockieren.
Sekoia berichtet über eine beträchtliche Betriebsskala von Tycoon 2FA, mit Hinweisen auf eine breite Basis von Cyberkriminellen, die das Kit für Phishing-Operationen nutzen. Seit der Einführung des Kits im August 2023 wurden über 1.800 Transaktionen im mit den Betreibern verknüpften Bitcoin-Wallet verzeichnet, was auf eine umfangreiche Nutzung hinweist. Bis Mitte März 2024 hatten die Bedrohungsakteure insgesamt Kryptowährungen im Wert von 394.015 USD erhalten.
Tycoon 2FA stellt lediglich eine aktuelle Ergänzung in einem PhaaS-Bereich dar, der Cyberkriminellen bereits zahlreiche Möglichkeiten bietet, 2FA-Schutzmaßnahmen zu umgehen. Weitere bemerkenswerte Plattformen mit ähnlichen Fähigkeiten sind LabHost, Greatness und Robin Banks.
Für eine Liste der mit der Tycoon 2FA-Operation verknüpften Indikatoren für Kompromittierungen (IoCs) stellt Sekoia ein Repository mit über 50 Einträgen zur Verfügung.