今月初めの大規模な法執行機関の作戦にもかかわらず、サブスクリプションベースのフィッシングサービス(PhaaS)プラットフォームであるTycoon2FAは、メールアカウントの侵害と多要素認証(MFA)のバイパスを継続しています。
中間者攻撃(AITM)技術を使用してライブ認証セッションをインターセプトするこのプラットフォームは、活動を再開したと報告されています。
2023年にローンチされたTycoon2FAは、フィッシング活動の大きな割合を占めていました。2025年半ばまでに、Microsoftがブロックしたフィッシング試行の62%を占め、1ヶ月間に3000万を超える悪意のあるメールを生成したと報告されています。
短期的な機能停止、迅速な回復
Europol が調整した摘発に続いて、6つの国の当局および業界パートナーが、Tycoon2FAプラットフォームに関連する330のドメインを押収しました。初期の結果は、Tycoon2FAの活動が大幅に減少し、日次キャンペーンが機能停止前のレベルの25%に低下したことを示しました。
PhaaS脅威の詳細:Morphing Meerkat PhaaS プラットフォームが100を超えるブランドになりすまし
しかし、活動は2026年初頭のレベルに迅速に戻りました。先週発表された勧告で、CrowdStrikeは3月4日から3月6日の間に、デコイおよび認証情報キャプチャページを含む、少なくとも30件の疑わしいTycoon2FA対応フィッシング事件を観察したと述べました。
オペレーターは、リダイレクション用に侵害されたドメインと正当なクラウドサービスを使用し続けており、自動クラウドログインに関連するIPv6アドレスは引き続きアクティブです。AI生成のデコイページと悪意のあるURLは引き続き展開され、戦術に変化はありません。
サイバー防御者の見通し
摘発には、Europolithropol欧州サイバー犯罪センター(EC3)およびラトビア、リトアニア、ポルトガル、ポーランド、スペイン、イギリスの当局が関与していました。
それにもかかわらず、Tycoon2FAの迅速な回復は、現代のサイバー脅威の適応的な性質を強調しており、CrowdStrikeは警告しています。継続的な検出、リアルタイムの信号相関、および階層化された防御戦略は、迅速に進化する敵対者に対抗するために引き続き重要です。
「クロスドメイン機能停止の手段が法執行機関に利用できない場合、たとえ一時的であっても、インフラストラクチャの機能停止は、敵対者を挫折させ、遅延させ、混乱させるのに役立つ可能性があります。」と同社は付け加えました。
「そのような中断からの回復が発生するにつれて、CrowdStrikeおよび他の業界パートナーは、これらの脅威の進化する性質に向き合う準備が整った状態を保たなければなりません。」
翻訳元: https://www.infosecurity-magazine.com/news/tycoon2fa-phishing-service-resumes/
