A plataforma de Phishing-as-a-Service (PhaaS) conhecida como Tycoon2FA, que tinha sido alvo de uma operação de desmantelamento liderada pela Europol e pela Microsoft a 4 de março, já regressou aos níveis de atividade habituais. Apesar da apreensão de centenas de domínios, os criminosos conseguiram reerguer a infraestrutura de forma quase imediata, demonstrando uma resiliência impressionante perante as autoridades.
De acordo com o relatório da CrowdStrike, a interrupção técnica forçada pela Microsoft e pelos seus parceiros conseguiu apreender 330 domínios que faziam parte da espinha dorsal do serviço, incluindo painéis de controlo e páginas de phishing usadas em ataques. No entanto, o alívio foi passageiro. Nos dois dias seguintes à operação, o volume de campanhas caiu para cerca de 25%, mas a recuperação total aconteceu num curto espaço de tempo, voltando aos níveis registados no início de 2026.
Uma ameaça persistente ao Microsoft 365 e Gmail
O Tycoon2FA não é propriamente um novato nestas andanças. Identificado pela primeira vez há cerca de dois anos, este serviço de cibercrime dedica-se especificamente a atacar contas do Microsoft 365 e do Gmail. A sua grande vantagem competitiva no mercado negro é a capacidade de utilizar mecanismos de "adversário no meio" (AiTM), que permitem contornar as proteções de autenticação de dois fatores (2FA).
Esta plataforma tem um peso colossal no panorama do crime digital. Segundo dados da Microsoft, o sistema era responsável pela geração de 30 milhões de emails de phishing por mês. Curiosamente, este volume representa cerca de 62% de todos os emails bloqueados pela gigante tecnológica, o que dá uma ideia da escala desta operação.
Infraestrutura renovada e táticas inalteradas
A análise pós-intervenção revela que os operadores do Tycoon2FA mantiveram as suas táticas, técnicas e procedimentos praticamente inalterados. O grupo continua a suportar uma vasta gama de atividades ilícitas, que incluem o desvio de fios de conversação de email, a invasão de contas na nuvem e o uso de links maliciosos no SharePoint.
A CrowdStrike sublinha que, sem detenções físicas ou apreensão de hardware, é relativamente simples para os cibercriminosos substituírem os domínios e endereços IP afetados. A rapidez com que novos registos foram efetuados sugere que os atacantes já tinham planos de contingência prontos a serem ativados em caso de queda da rede principal. Enquanto a procura por este tipo de serviços de phishing continuar elevada, o incentivo financeiro para manter estas plataformas vivas permanecerá uma prioridade para os seus operadores.
Nenhum comentário
Seja o primeiro!