Tycoon Phishing Kit
L’émergence de Tycoon 2FA, un nouveau kit de phishing, a suscité d’importantes inquiétudes au sein de la communauté de la cybersécurité. Commercialisé dans le cadre du Phishing-as-a-Service (PaaS) du Tycoon Group sur Telegram, il est disponible pour aussi peu que 120 $. Parmi ses fonctionnalités clés figurent la capacité de contourner l'authentification à deux facteurs de Microsoft, d'atteindre une vitesse de liaison de haut niveau et d'utiliser Cloudflare pour contourner les mesures antibot, garantissant ainsi la persistance des liens de phishing non détectés.
À la mi-octobre 2023, le kit de phishing a été mis à jour, les cybercriminels promettant des opérations de liaison et de pièce jointe plus fluides. Cette mise à jour a coïncidé avec l'intégration de la technologie WebSocket dans leurs pages de phishing, améliorant la communication navigateur-serveur pour une transmission plus efficace des données vers les serveurs des acteurs.
En février 2024, Tycoon Group a introduit une nouvelle fonctionnalité ciblant les utilisateurs de Gmail, permettant de contourner l'authentification à deux facteurs. Cette version comprend une page de connexion Gmail « Afficher » et Google Captcha, élargissant son public cible potentiel au-delà des utilisateurs de Microsoft 365.
Dans une mise à jour plus récente, le groupe a introduit la prise en charge des abonnés pour collecter les cookies des services de fédération Active Directory (ADFS), ciblant spécifiquement les mécanismes d'authentification des organisations utilisant ADFS.
Table des matières
La chaîne d’infection du kit de phishing Tycoon
La séquence de la chaîne d'attaque commence par une campagne de phishing standard qui exploite des domaines de confiance et des services basés sur le cloud pour masquer la véritable URL de destination de la page de destination principale de phishing. Cette stratégie consiste à exploiter des services de messagerie et de marketing en ligne réputés, des newsletters ou des plateformes de partage de documents en tant que redirecteurs d'URL ou hôtes pour des documents leurres contenant des liens vers la page de phishing finale.
La redirection s'effectue en cliquant sur un lien dans l'e-mail, menant soit à un document leurre avec un lien vers la page de phishing principale, soit directement à la page de destination principale de phishing facilitée par un redirecteur.
La page de destination principale de phishing comprend deux composants principaux : un script PHP « index.php » chargé de charger son composant secondaire, un fichier « .JS » préfixé par « myscr ». Le rôle de ce dernier composant est de générer le code HTML de la page de phishing.
La campagne Tycoon Phishing vérifie si les victimes ne sont pas des robots
Le deuxième script de composant utilise diverses techniques d'obscurcissement pour échapper aux robots d'exploration et aux moteurs antispam. Une de ces méthodes implique un long tableau de caractères représentés sous forme d’entiers décimaux. Chaque entier est converti en caractères puis concaténé pour former le code source HTML de la page de phishing. De plus, le script utilise une technique d'obscurcissement connue sous le nom de « prédicat opaque », introduisant du code redondant dans le flux du programme pour obscurcir la logique sous-jacente du script.
Initialement, JavaScript effectue un préfiltrage à l'aide du service CloudFlare Turnstile pour vérifier que le lien est accédé par un humain, le distinguant ainsi des robots d'exploration automatisés. Les utilisateurs de ce Phishing-as-a-Service (PaaS) peuvent activer cette fonctionnalité dans le panneau d'administration et fournir les clés CloudFlare associées à leurs comptes. Cette intégration fournit également des métriques supplémentaires pour le phisher via le tableau de bord CloudFlare.
Une fois la vérification réussie, le JavaScript charge une page de connexion contrefaite adaptée au thème de phishing choisi par l'abonné. Par exemple, il peut imiter une page de connexion Microsoft 365.
Tycoon fournit à ses clients un contrôle de tableau de bord
Le Tycoon Group PaaS offre un panneau d'administration accessible aux abonnés ou aux locataires, leur donnant la possibilité de se connecter, de créer et de surveiller des campagnes, ainsi que de superviser les informations d'identification phishing.
Les utilisateurs peuvent avoir accès au panel pendant une durée déterminée, en fonction de leur niveau d'abonnement. Les individus peuvent lancer de nouvelles campagnes dans la section des paramètres, en choisissant le thème de phishing préféré et en ajustant diverses fonctionnalités PaaS. De plus, les abonnés peuvent surveiller les informations d'identification hameçonnées, notamment les noms d'utilisateur, les mots de passe et les cookies de session. De plus, le service permet aux abonnés de transmettre les résultats du phishing à leurs comptes Telegram.
Les attaques de phishing deviennent plus faciles à exécuter via des kits de phishing comme Tycoon
L’émergence du modèle Phishing-as-a-Service, illustré par des entités comme Tycoon Group, a considérablement réduit les barrières à l’entrée pour l’exécution d’attaques de phishing sophistiquées, même pour les criminels les moins expérimentés. Cette accessibilité est évidente dans la recrudescence des attaques de phishing utilisant de tels services, comme l'ont noté les chercheurs. Ce qui distingue Tycoon Group, c'est l'intégration de la technologie WebSocket dans la page de phishing, permettant une transmission plus fluide des données entre le navigateur et le serveur de l'attaquant. De plus, cette fonctionnalité simplifie la gestion des campagnes et la surveillance des identifiants phishing pour les acteurs abonnés.
