El kit de phishing Tycoon 2FA ataca cuentas de Microsoft 365 y Gmail
- Endpoint
Esta plataforma de phishing como servicio recopila cookies de sesión, que los atacantes utilizan para saltarse controles de acceso MFA. El grupo cibercriminal detrás de Tycoon 2FA vende páginas de phishing listas para usar con Microsoft 365 y Gmail en Telegram, con unos precios desde unos 120 dólares.
Tycoon 2FA es una plataforma de phishing como servicio (PhaaS) que se vio por primera vez en agosto de 2023. Últimamente, Tycoon 2FA ha acaparado atención por la aparición de campañas diseñadas para atacar cuentas de Microsoft 365 y Gmail.
Esta plataforma como servicio, al igual que muchos kits de phishing, funciona con la técnica de phishing AiTM (adversario en el medio) para recopilar cookies de sesión. Los atacantes utilizan estas cookies para saltarse controles de acceso multifactor (MFA) en una autenticación posterior, entrando así de manera no autorizada a cuentas, sistemas y servicios en cloud, incluso de personas que cuentan con medidas de seguridad adicionales.
Según expertos del equipo de investigación de amenazas de Proofpoint, Tycoon 2FA se basa en una infraestructura controlada por el atacante para alojar la página web de phishing. Mediante el uso de un proxy inverso, la plataforma permite interceptar las credenciales ingresadas por las víctimas. Luego, estas se transmiten al servicio legítimo para un inicio de sesión exitoso y transparente, generando solicitudes de MFA, pero las cookies de sesión resultantes se transmiten ya a los ciberdelincuentes involucrados.
Desde finales del año pasado, se han observado páginas de destino de phishing con Tycoon 2FA para robar y eludir tokens MFA. Entre las técnicas a las que recurren los ciberdelincuentes para engañar a sus víctimas, destacan los enlaces maliciosos o archivos PDF con códigos QR enviados a través de email para dirigirlas a páginas falsas, o ataques a través de buzones de voz. Como temas de señuelo, funcionan aquellos asuntos relacionados con bonificaciones y aumentos de nómina en empresas, así como actualizaciones falsas.
“El grupo cibercriminal detrás de Tycoon 2FA vende páginas de phishing listas para usar con Microsoft 365 y Gmail en Telegram, con unos precios desde unos 120 dólares por diez días de acceso al servicio. Un modelo de negocio que amplía el número potencial de atacantes, porque permite que actores menos capacitados técnicamente lancen sofisticados ataques de phishing”, destacan los investigadores de Proofpoint.
Para un enfoque de defensa en profundidad contra Tycoon 2FA, se están poniendo en práctica soluciones combinadas de IA conductual, inteligencia sobre amenazas y concienciación de seguridad. Los análisis de comportamiento pueden ayudar a identificar y bloquear las páginas de destino de Tycoon 2FA, así como la actividad de phishing, mientras que una mayor visibilidad proporcionará información para identificar amenazas conocidas y otras emergentes. Siempre con ejemplos del mundo real para dar a los usuarios finales los conocimientos que necesitan para reconocer y responder adecuadamente a estos riesgos potenciales.