一种名为 Tycoon 2FA 的新型网络钓鱼工具包引起了网络安全界的严重担忧。

 该工具包由 Sekoia 威胁检测与研究 (TDR) 团队于 2023 年 10 月发现，并在今天发布的一份公告中进行了讨论，该工具包与中间对手 (AiTM) 技术相关，据称被多个威胁行为者利用来策划广泛的攻击和有效的攻击。

 根据 Sekoia 的调查，Tycoon 2FA（双因素身份验证）平台至少自 2023 年 8 月起就一直活跃。自发现以来，该公司一直在积极监控与 Tycoon 2FA 相关的基础设施。

 分析显示，该工具包已成为最流行的 AiTM 网络钓鱼工具包之一，在 2023 年 10 月至 2024 年 2 月期间检测到了 1,100 多个域名。

 Tycoon 2FA 网络钓鱼工具包通过多个阶段运行，以有效执行其恶意活动。

 最初，受害者通过电子邮件附件或二维码被引导至一个包含 Cloudflare Turnstile 挑战的页面，该挑战旨在阻止不需要的流量。成功完成后，用户会遇到一个虚假的 Microsoft 身份验证页面，他们的凭据将在其中被获取。

 随后，网络钓鱼工具包将此信息中继到合法的 Microsoft 身份验证 API，拦截会话 cookie 以绕过多重身份验证 (MFA)。

 在今天的通报中，Sekoia 表示，它于 2024 年 2 月发现了 Tycoon 2FA 的新版本，其 JavaScript 和 HTML 代码发生了重大变化，增强了其网络钓鱼功能。值得注意的是，它重新组织了资源检索并扩展了流量过滤，以阻止机器人活动和分析尝试。

 与之前的版本相比，显着的变化包括：

 初始 HTML 页面类似于第一阶段，保留其功能，但排除了 Cloudflare Turnstile 挑战。
随后的有效负载以可识别的模式命名，包含第 4 阶段（虚假登录页面）和新版本第 1 阶段（Cloudflare Turnstile 挑战）的元素。省略了反混淆中不必要的数学运算。
以前单独的 JavaScript 下载被合并到阶段 4 和阶段 5。这些阶段现在处理 2FA 实施和数据传输。
隐形策略得到改进，将恶意资源提供延迟到 Cloudflare 挑战解决之后。 URL 现在是随机命名的。
此外，该套件还可以通过识别和绕过各种流量模式（包括来自数据中心、Tor 和特定机器人用户代理的流量模式）来逃避分析。

 Sekoia 还警告 Tycoon 2FA 与其他已知网络钓鱼平台之间的潜在联系，建议共享基础设施和可能共享的代码库。

 该咨询补充道：“通过研究据称由 Saad Tycoon Group 进行的比特币交易，Sekoia 分析师认为，Tycoon Group 的业务利润丰厚。 ” “我们预计 Tycoon 2FA PhaaS 到 2024 年仍将是 AiTM 网络钓鱼市场的主要威胁。”

文章原文链接:https://www.anquanke.com/post/id/294349