- EuropolがTycoon 2FAに対する多国籍作戦を主導
- プラットフォームがMFAバイパス機能付きの大規模フィッシングを可能にした
- 当局がコアインフラを解体し、ドメインを押収
世界最大級のフィッシング・アズ・ア・サービス(PhaaS)プラットフォームの1つであるTycoon 2FAが、グローバルに調整された法執行機関の作戦の後、摘発されました。
この作戦はEuropolが主導し、ラトビア、リトアニア、ポルトガル、ポーランド、スペイン、および英国の警察部隊が参加しました。
2023年8月以降少なくとも活動していたフィッシング作戦を成功裏に解体し、数千人のサイバー犯罪者がメールおよびクラウドベースのサービスアカウントにアクセスすることを可能にしました。
数百のドメインが摘発
この作戦では、法執行機関がサービスの「コアインフラ」を形成した330のドメインを摘発しました。その中には、攻撃者がキャンペーンを管理するために使用するフィッシングポータルとバックエンドコントロールパネルが含まれています。
Cloudflare、Coinbase、Intel471、Microsoft、Proofpoint、Shadowserver Foundation、SpyCloud、Trend Microなど、多くの民間組織も支援しました。
一部の研究者は、このプラットフォームはアンダーグラウンドコミュニティで非常に人気があると主張しています。明らかに、2023年8月(最初の立ち上げ時)から2024年3月の間に、この作戦に関連するビットコインウォレットは、当時40万ドル以上の暗号資産を獲得しました。
Tycoon 2FAはアドバーサリ・イン・ザ・ミドル(AiTM)攻撃として機能し、ログイン認証情報とセッションクッキーをインターセプトして、MFAで保護されたものを含むユーザーアカウントへの不正アクセスを取得しました。
Europolによると、Tycoon 2FAは毎月数千万件のフィッシングメールを生成し、学校、病院、公的機関を含む世界中の約10万の組織への不正アクセスを促進しました。
長年にわたって、それは積極的にサポートされており、定期的にアップデートとアップグレードを受けてきました。その最後のメジャーアップグレードは2025年4月で、手動および静的なパターンマッチング分析の回避を改善し、フィンガープリンティングとフラグをバイパスし、ブラウザオートメーションツールを検出するためのものでした。
2025年半ばまでに、Tycoon 2FAはMicrosoftによってブロックされたすべてのフィッシング試行の約3分の2(62%)を占めていた、とEuropolが強調しました。
このプラットフォームはアンダーグラウンドフォーラムで販売されており、10日間のアクセスで120ドルから始まる価格で、幅広いサイバー犯罪者がアクセスできるようになっています。
そしてもちろん、あなたはTikTokでTechRadarをフォローすることもできます。ニュース、レビュー、ビデオ形式でのアンボックスを取得し、WhatsAppでも定期的な更新を受け取ります。
