Secondo gli analisti di Sekoia, gli account Microsoft 365 e Gmail sono bersaglio di Tycoon 2FA, un nuovo kit di phishing che aggira, ma non invalida, il Multi-Factor Authentication (MFA), il cui utilizzo, “secondo Microsoft, riduce del 99,9% il rischio di violazione di un account“, commenta Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit.
“Il caso di Tycoon 2FA”, continua, “infatti non inficia l’efficacia della MFA, perché si tratta piuttosto di una tecnica di phishing, più sofisticata di altre, ma sempre di phishing si tratta”.
“La nuova piattaforma Tycoon 2FA, che offre servizi di phishing-as-a-service”, aggiunge Riccardo Michetti, Threat Intelligence Analyst di Swascan, “mostra una nuova modalità di attacco che permette al Threat Actor di copiare dei portali di login Microsoft, usando tecniche di Adversary-in-the-Middle, che simulano l’inserimento del codice di autenticazione a due fattori”. Ecco i dettagli dell’attacco e come mitigare il rischio.
Indice degli argomenti
Tycoon 2FA: il nuovo kit di phishing che aggira il MFA
I criminali informatici sfruttano sempre più frequentemente una nuova piattaforma di phishing-as-a-service (PhaaS), nota come Tycoon 2FA, per colpire gli account Microsoft 365 e Gmail e aggirare la protezione dell’autenticazione a due fattori (2FA).
“Se gli utenti ‘abboccano’ all’email di phishing si innesca la catena dell’attacco”, sottolinea Sbaraglia, “gli utenti vengono silenziosamente reindirizzati a un’altra parte del sito di phishing e arrivano su una falsa pagina di login di Microsoft attraverso la quale vengono sottratte le credenziali e soprattutto il token 2FA. È quindi un phishing, reso possibile da un errore umano“.
Tycoon 2FA è stato scoperto dagli analisti di Sekoia nell’ottobre del 2023 durante la caccia alle minacce di routine, ma è attivo almeno dall’agosto dello stesso anno, quando il gruppo Saad Tycoon lo ha proposto attraverso i canali privati di Telegram.
Il kit PhaaS presenta analogie con altre piattaforme adversary-in-the-middle (AitM), come Dadsec OTT, suggerendo un possibile riutilizzo del codice o una collaborazione tra sviluppatori.
Nel 2024, Tycoon 2FA ha rilasciato una nuova versione più insidiosa ed evasiva, mostrando la capacità di sforzarsi per migliorare il kit. Attualmente, il servizio sfrutta 1.100 domini ed è stato osservato in migliaia di attacchi di phishing.
“L’utilizzo di tecniche sempre più avanzate da parte di Tycoon 2FA per rubare i sistemi di autenticazione 2FA”, conferma Riccardo Paglia, Head of Sales, IT & COO di Swascan, “evidenzia infatti un approccio preoccupante ma ingegnoso che sfrutta la fiducia degli utenti nelle procedure di login consolidate. Questa strategia consente agli attaccanti di accedere indisturbati ad account protetti e accedere a dati riservati oltre a mettere a rischio i rapporti con clienti e fornitori delle aziende vittime di questo attacco“.
I dettagli dell’attacco
Gli attacchi Tycoon 2FA prevedono un processo in più fasi in cui l’attore della minaccia ruba i cookie di sessione utilizzando un server proxy inverso che ospita la pagina web di phishing, che intercetta gli input della vittima e li ritrasmette al servizio legittimo.
“Una volta che l’utente completa la sfida MFA e l’autenticazione ha successo, il server intermedio cattura i cookie di sessione”, spiega Sekoia. In questo modo, l’aggressore può riprodurre la sessione dell’utente e aggirare i meccanismi di autenticazione a più fattori (MFA).
Il rapporto di Sekoia suddivide gli attacchi in sette fasi distinte. Nella fase zero, gli aggressori distribuiscono link dannosi tramite e-mail con URL o codici QR incorporati, inducendo le vittime ad accedere a pagine di phishing. “Gli attaccanti distribuiscono link dannosi tramite email con URL o codici QR incorporati (il QRcode phishing è in grande crescita)”, spiega Sbaraglia, “inducendo le vittime ad accedere a pagine di phishing. Quindi ancora una volta è il fattore umano che apre la porta all’attaccante“.
La fase uno rappresenta una sfida di sicurezza (Cloudflare Turnstile) filtra i bot, permettendo solo alle interazioni umane di procedere al sito di phishing ingannevole.
Gli script in background, nella seconda fase, estraggono l’email della vittima dall’URL per personalizzare l’attacco di phishing.
Gli utenti subiscono un reindirizzamento silenzioso a un’altra parte del sito di phishing, nella terza fase, per farli atterrare sulla falsa pagina di login.
La fase 4 presenta una falsa pagina di login Microsoft per rubare le credenziali, utilizzando WebSocket per l‘esfiltrazione dei dati.
A questo punto, il kit imita una sfida 2FA, intercettando il token 2FA o la risposta per aggirare le misure di sicurezza. Infine, nella fase 6, le vittime subiscono il reindirizzamento verso una pagina dall’aspetto legittimo, per nascondere il successo dell’attacco di phishing. “La novità dell’ultima versione del kit di phishing Tycoon 2FA consiste nell’introduzione di modifiche più raffinate che migliorano le capacità di successo del phishing e di offuscamento dell’attacco“, mette in guardia Sbaraglia.
Le modifiche apportate
Le modifiche a Tycoon 2FA principali includono aggiornamenti al codice JavaScript e HTML, alterazioni nell’ordine di recupero delle risorse e un filtraggio più esteso per bloccare il traffico proveniente da bot e strumenti analitici.
Per esempio, il kit ora ritarda il caricamento delle risorse malevole fino alla risoluzione della sfida di Cloudflare Turnstile, grazie a nomi pseudo-random per gli URL per oscurare le sue attività.
Identifica meglio, inoltre, il traffico di rete Tor o gli indirizzi IP legati ai centri dati. Invece rifiuta il traffico in base a specifiche stringhe di user-agent.
Il portafoglio Bitcoin collegato agli operatori ha registrato oltre 1.800 transazioni da ottobre 2019, con un notevole incremento a partire da agosto 2023, dal debutto del kit.
Oltre 530 transazioni superavano infine la soglia dei 120 dollari, il prezzo di ingresso per un collegamento di phishing di 10 giorni. A metà marzo 2024, il portafoglio degli attori della minaccia aveva totalizzato 394.015 dollari di criptovaluta.
Tycoon 2FA si è recentemente aggiunto a un’arena PhaaS che offre già molte opzioni ai criminali informatici. Altre piattaforme degne di nota in grado di aggirare le protezioni 2FA sono LabHost, Greatness e Robin Banks.
“Questa tecnica consente di eludere il 2FA su cui molti utenti fanno affidamento”, avverte Riccardo Michetti: “I pericoli derivanti da questa tecnica sono elevati, diventa quindi essenziale organizzare delle campagne di sensibilizzazione per gli utenti che mirino ad approfondire queste problematiche”
Come proteggersi da Tycoon 2FA, il kit di phishing
Per proteggersi occorre implementare l’autenticazione a due fattori o la Multi-Factor Authentication. Inoltre serve una postura di sicurezza per non cadere incautamente vittime del phishing.
“L’autenticazione a due o più fattori, definita anche strong authentication o 2FA e MFA (Two-Factor Authentication e Multi-Factor Authentication) non dovrebbe più essere un’opzione”, avverte Sbaraglia, “ma rappresenta ormai una necessità che chiunque dovrebbe adottare sui propri account, personali o aziendali. Adottarla in modo sistematico è fondamentale”.
“Proprio per l’efficacia di questo kit”, continua Sbaraglia, “Sekoia segnala che vi sono prove di un ampio numero di criminali informatici che attualmente utilizzano Tycoon 2FA per condurre operazioni di phishing, secondo un meccanismo di phishing-as-a-service (PhaaS), sempre più diffuso”.
Il punto debole è ancora una volta il fattore umano. “Non è infatti in discussione la validità della MFA, ma si sono semplicemente evolute le tecniche degli attaccanti, che riescono a violare la MFA facendo leva – come sempre – sull’errore umano”, conclude Sbaraglia.
“L’evoluzione e l’aggiornamento continui di piattaforme a servizio come Tycoon 2FA ci danno due messaggi importanti“, mette in evidenza Riccardo Paglia: “Il primo è che esiste un mercato remunerativo per chi eroga questo servizio ma non esiste una soluzione unica per proteggersi“.
In questo scenario, “l’importanza della formazione degli utenti emerge come fondamentale”, sottolinea l’Head of Sales, IT & COO di Swascan: “Educare i dipendenti sulle minacce emergenti, sui comportamenti a rischio e sulle buone pratiche da adottare non è più un optional, ma un pilastro della sicurezza aziendale. La consapevolezza degli utenti può efficacemente ridurre il rischio di cadere vittime di attacchi sofisticati, agendo come un complemento indispensabile alle misure di sicurezza tecnologiche”.
Infine “le aziende devono al contempo rivedere e aggiornare continuamente i propri processi aziendali per integrare le migliori pratiche di sicurezza, assicurando che le politiche siano adattate per affrontare le minacce in evoluzione. Questo include il monitoraggio di sicurezza delle infrastrutture IT e periodica manutenzione degli asset“, conclude Riccardo Paglia.
