O infame kit de phishing Tycoon2FA está de volta à atividade, agora suportando ataques através de códigos de dispositivo e abusando de URLs da plataforma Trustifi. O objetivo principal desta operação renovada passa por sequestrar contas do Microsoft 365, contornando mecanismos de segurança que antes eram considerados robustos.
Segundo a informação partilhada pela eSentire no seu blog oficial, a ameaça evoluiu consideravelmente após uma tentativa de desmantelamento por parte das autoridades.
O regresso em força do Tycoon2FA
Apesar de uma operação internacional ter perturbado a plataforma em março, o Tycoon2FA foi rapidamente reconstruído noutra infraestrutura. A Abnormal Security já tinha confirmado que o kit voltou aos níveis normais de atividade, adicionando novas camadas de ofuscação para resistir a futuras interrupções.
No final de abril, os operadores desta ameaça começaram a explorar os fluxos de concessão de autorização de dispositivos OAuth 2.0. Empresas de segurança como a Push Security e a Proofpoint alertam que este tipo de ataque aumentou mais de 37 vezes este ano, suportado por dezenas de plataformas e serviços de phishing.
Como funciona este esquema de phishing
Neste tipo de ataque, os piratas informáticos enviam um pedido de autorização ao fornecedor do serviço. Em seguida, encaminham o código gerado para a vítima, enganando-a para que o introduza na página legítima de início de sessão.
Ao fazê-lo, o utilizador autoriza o invasor a registar um equipamento malicioso na sua conta. Isto concede acesso total aos dados da vítima, incluindo a caixa de correio, o calendário e o armazenamento na nuvem.
O ataque começa quando o alvo clica num URL de rastreio da Trustifi, uma plataforma legítima de segurança, presente num e-mail fraudulento. Este clique redireciona a vítima através de várias camadas de código ofuscado até aterrar numa página falsa de CAPTCHA. O código OAuth é recuperado do servidor dos atacantes e a vítima é instruída a colá-lo na página oficial de início de sessão. Uma vez que o alvo completa a autenticação do seu lado, o atacante recebe os tokens de acesso finais.
Proteção avançada e medidas de defesa
Para dificultar a análise das empresas de cibersegurança, o Tycoon2FA inclui mecanismos que detetam redes privadas, sandboxes, bots de inteligência artificial ou ferramentas de pesquisa. A lista de bloqueio do kit contém centenas de nomes de fornecedores de segurança. Se um ambiente de teste for detetado, o sistema redireciona o tráfego para uma página inofensiva.
Para mitigar este risco, os especialistas recomendam a desativação do fluxo de código de dispositivo OAuth, caso não seja estritamente necessário. É também aconselhável restringir as permissões para aplicações de terceiros, exigir a aprovação de um administrador e garantir a implementação de políticas rigorosas de acesso.
Nenhum comentário
Seja o primeiro!