Tycoon 2FAの内部：グローバルフィッシング作戦の破壊

ResecurityはTycoon 2FAの破壊への貢献を誇りに思っています。このプラットフォームは単月で3000万以上の不正メールを生成したサイバー犯罪プラットフォームです。Microsoft、Europol、および他の業界パートナーが主導した共同の取り組みは、毎月世界中で500,000以上の組織に到達する数千万件の詐欺的メールを担当していたインフラを標的にしていました。

ResecurityはTycoon 2FAへのアクセスを獲得しました。これは数千人のサイバー犯罪者が実在のユーザーになりすまし、Microsoft 365、Outlook、Gmailを含むメールおよびオンラインサービスアカウントへの不正アクセスを取得するために広く使用されています。

このキットはインタラクティブなGUIパネルとAPIを提供し、サイバー犯罪者が彼らの操作を自動化およびスケールすることを可能にします。

GUIパネルは、ユーザーが侵害されたアカウントをナビゲートすることを可能にし、HotmailとOutlookに特別に割り当てられた専用モジュールがあります。

回避メカニズムの1つとして、Tycoon 2FAはサードパーティのWebサイトのオープンリダイレクト脆弱性を悪用することによってURLローテーションを活用しています。

Tycoon 2FAによって生成された悪意のあるインスタンスの保護を可能にするもう1つのメカニズムは、Cloudflare（Workers）の悪用です。

Tycoon 2FAの作成者は、定期的なキット更新でツールを積極的に更新しています。

Tycoon 2FAが特別な理由は、このキットがPDF添付ファイルからQRコードまで、大規模でフィッシングを配信するための複数の方法を効果的に組み合わせていることです。

Tycoon 2FAはユーザーが人気のあるブランドになりすましてメールの悪意を生成することを可能にします。Resecurityは、従来のフィッシングからワイヤー詐欺とビジネスメール侵害（BEC）を組み合わせたより高度な戦術まで、シナリオ全体でキットを使用している注目すべき脅威アクターを複数特定しました。

サイバー犯罪者は、世界中の消費者を標的にするために、請求書、銀行ステートメント、プレゼンテーション、および他の一般的なドキュメント（例えば、電子署名の場合）として表示される悪意のあるPDFドキュメントを生成できます。

Tycoon 2FAの背後にあるインフラを保護するために、サイバー犯罪者は人気のある検索エンジン、アンチウイルスエンジン、プロキシ、およびVPNを検出する独自のアンチボットソリューション、ならびにサイバーセキュリティおよびコンテンツセキュリティプロバイダーに関連する可能性のあるIPアドレスを使用しました。

Tycoon 2FAは間違いなく最高水準のキットの1つであり、世界中の数百万の消費者を標的にしています。

– エンタープライズアイデンティティポータルの認証情報収集
このキットはOktaおよびMicrosoft Active Directory Federation Services（ADFS）に関連するログインフローを標的にしています。実際には、これはフルアカウントを収集するのではなく、スプーフィングされたシングルサインオン（SSO）ページに入力されたユーザー名とパスワードをキャプチャしようとすることを意味します。

– 消費者メールアカウントの標的化
組み込みテンプレートはMicrosoft消費者サービス（例えば、HotmailおよびOutlook）を模倣して、企業および個人環境全体で再利用される認証情報を収集します。

– オープンリダイレクトURL生成
このキットは、オープンリダイレクト脆弱性を悪用するフィッシングリンクを生成して、URLをより信頼できるものに見せたり、基本的なドメインフィルタリングをバイパスしたりできます。

– ソーシャルエンジニアリングのためのCAPTCHA模倣
偽の検証要素（例えば、Cloudflare Turnstile-スタイルのチャレンジの模倣）は、実際のボットフィルタリングを提供するのではなく、知覚される正当性を増加させるためにのみ使用されます。

– 複数のランディングページテンプレート
オペレータは、一般的な認証ポータルを模倣するいくつかの視覚的なテンプレートを切り替えることができます。

– アンチボットおよびアンチデバッグ保護
既知のヘッドレスボットまたは開発者ツールをブロックするフィルタリングメカニズムを含みます。

– Telegramを介した認証情報の漏洩
キャプチャされたデータは、低コストで効果的な漏洩方法であるTelegramを介して自動的に転送されます。