Tycoon Phishing Kit
新しいフィッシング キットである Tycoon 2FA の出現は、サイバーセキュリティ コミュニティ内で大きな懸念を引き起こしました。 Tycoon Group の Phishing-as-a-Service (PaaS) の一部として Telegram で販売されており、わずか 120 ドルで利用できます。その主な機能には、Microsoft の 2 要素認証をバイパスし、トップレベルのリンク速度を達成し、Cloudflare を利用してボット対策対策を回避する機能が含まれており、これにより検出されないフィッシング リンクの永続性が保証されます。
2023 年 10 月中旬にフィッシング キットが更新され、サイバー犯罪者はリンクと添付ファイルの操作がよりスムーズになると約束しました。この更新は、WebSocket テクノロジをフィッシング ページに統合すると同時に行われ、ブラウザからサーバーへの通信を強化して、攻撃者のサーバーへのデータ送信をより効率的にしました。
タイクーン グループは 2024 年 2 月までに、Gmail ユーザーを対象とした新機能を導入し、2 要素認証のバイパスを可能にしました。このリリースには、Gmail の「表示」ログイン ページと Google キャプチャが含まれており、潜在的な対象ユーザーを Microsoft 365 ユーザー以外にも広げています。
最近の更新では、このグループは、特に ADFS を利用する組織の認証メカニズムを対象として、サブスクライバーが Active Directory Federation Services (ADFS) Cookie を収集するためのサポートを導入しました。
目次
タイクーン フィッシング キット感染チェーン
一連の攻撃は、信頼できるドメインとクラウドベースのサービスを悪用して、メインのフィッシング ランディング ページの本当の宛先 URL を隠す標準的なフィッシング キャンペーンから始まります。この戦略には、信頼できるオンライン メーラーおよびマーケティング サービス、ニュースレター、またはドキュメント共有プラットフォームを、最終的なフィッシング ページへのリンクを含むおとりドキュメントの URL リダイレクタまたはホストとして利用することが含まれます。
電子メール内のリンクをクリックするとリダイレクトが発生し、主要なフィッシング ページへのリンクを含むおとりドキュメントに誘導されるか、リダイレクターによって促進されるメインのフィッシング ランディング ページに直接誘導されます。
主要なフィッシング ランディング ページは、2 つの主要コンポーネントで構成されます。1 つは、その 2 番目のコンポーネントのロードを担当する「index.php」PHP スクリプト、「myscr」というプレフィックスが付いた「.JS」ファイルです。後者のコンポーネントの役割は、フィッシング ページの HTML コードを生成することです。
Tycoon フィッシング キャンペーンでは、被害者がボットではないかどうかを確認しています
2 番目のコンポーネント スクリプトは、ボット クローラーやスパム対策エンジンを回避するために、さまざまな難読化技術を採用しています。このような方法の 1 つは、10 進整数として表される文字の長い配列を必要とします。各整数は文字に変換され、連結されてフィッシング ページの HTML ソース コードが形成されます。さらに、このスクリプトは「不透明述語」として知られる難読化手法を採用しており、プログラム フローに冗長なコードを導入して、スクリプトの基礎となるロジックを分かりにくくしています。
最初に、JavaScript は CloudFlare Turnstile サービスを使用してプレフィルタリングを実行し、リンクが人間によってアクセスされたことを確認し、自動化されたボット クローラーと区別します。この Phishing-as-a-Service (PaaS) のユーザーは、管理パネルでこの機能を有効にし、自分のアカウントに関連付けられた CloudFlare キーを提供できます。この統合により、CloudFlare ダッシュボードを通じてフィッシング詐欺師に追加のメトリクスも提供されます。
検証が成功すると、JavaScript は加入者が選択したフィッシングのテーマに合わせた偽のサインイン ページを読み込みます。たとえば、Microsoft 365 のログイン ページを模倣する場合があります。
Tycoon がクライアントにダッシュボード コントロールを提供
Tycoon Group PaaS は、加入者またはレンタル者がアクセスできる管理パネルを提供し、ログイン、キャンペーンの作成、監視、およびフィッシング認証情報の監視を行うことができます。
ユーザーは、サブスクリプション レベルに応じて、一定期間パネルにアクセスできる場合があります。個人は設定セクション内で新しいキャンペーンを開始し、好みのフィッシング テーマを選択し、さまざまな PaaS 機能を調整できます。さらに、加入者は、ユーザー名、パスワード、セッション Cookie を含む、フィッシングされた資格情報を監視できます。さらに、このサービスにより、加入者はフィッシング結果を Telegram アカウントに転送できます。
フィッシング攻撃は、Tycoon のようなフィッシング キットを介して実行されやすくなっています
Tycoon Group などの組織に代表される Phishing-as-a-Service モデルの出現により、経験の浅い犯罪者であっても、高度なフィッシング攻撃を実行するための参入障壁が大幅に低下しました。研究者らが指摘しているように、このアクセスしやすさは、そのようなサービスを利用したフィッシング攻撃の急増からも明らかです。 Tycoon Group の特徴は、WebSocket テクノロジーをフィッシング ページに組み込んでおり、ブラウザと攻撃者のサーバー間のよりスムーズなデータ送信を可能にしていることです。さらに、この機能により、キャンペーンの管理と、購読しているアクターのフィッシング資格情報の監視が簡素化されます。
