Barracuda full logo

Threat Spotlight: il kit di phishing Tycoon 2FA è stato aggiornato per eludere l'ispezione

Argomenti:
22 gen 2025
|
Deerendra Prasad

Phishing-as-a-Service (PhaaS) fornisce agli aggressori set di strumenti avanzati e modelli che consentono loro di implementare rapidamente campagne di phishing.

La rapida ascesa ed evoluzione di PhaaS sta guidando un cambiamento fondamentale nell'ecosistema del phishing, rendendo la minaccia sempre più complessa e sofisticata. Gli sviluppatori dietro questi kit di phishing investono risorse considerevoli nella loro creazione e nel miglioramento continuo.

Secondo gli analisti delle minacce di Barracuda, circa il 30% degli attacchi alle credenziali osservati nel 2024 hanno utilizzato PhaaS, e si prevede che questo salga al 50% nel 2025.

Barracuda monitora l'attività di alcune delle più importanti piattaforme PhaaS. Una di queste è Tycoon.

L'uso di Tycoon è stato diffuso da agosto 2023. È diventato Tycoon 2FA quando si è evoluto per aggirare l'autenticazione a più fattori — in questo caso 2FA — raccogliendo e utilizzando i cookie di sessione di Microsoft 365. L'ultima versione di Tycoon 2FA è stata vista per la prima volta a novembre 2024 e presenta tattiche avanzate progettate per ostacolare, far deragliare e altrimenti sventare i tentativi degli strumenti di sicurezza di confermare la sua intenzione dannosa e ispezionare le sue pagine web.

Queste tattiche includono:

  • L'uso di account email legittimi — possibilmente compromessi — per lanciare attacchi
  • Codice sorgente appositamente creato per ostacolare l'analisi delle pagine web
  • Misure per bloccare l'uso di script di sicurezza automatizzati e strumenti di test di penetrazione
  • Ascolto delle sequenze di tasti che suggeriscono l'ispezione del web e successivo blocco dell'attività ulteriore
  • Disabilitare il menu del clic destro che potrebbe rivelare la vera intenzione delle pagine web
  • Bloccare gli utenti dalla copia di testo significativo dalla pagina web per l'analisi offline

In questo Threat Spotlight approfondiamo alcune di queste tattiche e analizziamo come vengono utilizzate per eludere il rilevamento e l'ispezione.

L'ultima evoluzione di Tycoon 2FA

Tycoon 2FA consente agli aggressori di intercettare e aggirare misure di sicurezza multilivello progettate per proteggere gli account. Mirando ed sfruttando vulnerabilità nel processo 2FA, gli aggressori possono ottenere accesso non autorizzato ad account altrimenti sicuri.

All'inizio di novembre 2024, abbiamo notato un aumento nell'uso di una nuova versione di Tycoon che è più furtiva rispetto all'edizione precedente e utilizza una serie di tattiche sofisticate per ostacolare il rilevamento e l'analisi.

Uso di identità email legittime

Una delle modifiche significative rispetto alle versioni precedenti di Tycoon 2FA è che le email di phishing vengono inviate da indirizzi email legittimi, potenzialmente compromessi.

Esempi di queste email di phishing sono mostrati di seguito:

Esempi di email di phishing Tycoon 2FA

La pagina di phishing reale a cui portano queste email è solitamente una falsa pagina di accesso Microsoft.

Tattiche sofisticate impediscono l'analisi delle pagine di phishing

Codice sorgente ostruttivo

Oltre al modo in cui vengono inviati i messaggi di phishing, abbiamo notato importanti cambiamenti nel codice sorgente della pagina di accesso falsa.

Il codice inizia con il caricamento delle risorse JavaScript, fogli di stile, font e meta tag che vengono utilizzati nella pagina di phishing.

Tuttavia, nella nuova versione di Tycoon 2FA viene saltato il tipico schema di chiamata di risorse JavaScript esterne, fogli di stile e meta tag, ed è stata aggiunta una nuova funzione script che ostacola i tentativi di analizzare la pagina web (vedi immagine sotto).

Tycoon 2FA codice sorgente ostruzionistico

Rilevamento di script di sicurezza automatizzati

Un'analisi più approfondita del codice aggiornato di Tycoon 2FA ha anche rivelato misure per individuare e bloccare il tipo di strumenti o script automatici generalmente utilizzati dalle soluzioni di sicurezza per determinare se il codice è dannoso, ad esempio lo strumento di penetrazione "Burp".

Tycoon 2FA rilevamento script di sicurezza automatizzati

Se vengono rilevati tali strumenti, l'utente viene reindirizzato a una pagina vuota, impedendo ulteriori analisi.

Ascolto di sequenze di tasti che suggeriscono l'ispezione web

L'ultima versione di Tycoon 2FA può rilevare e bloccare combinazioni di tasti o scorciatoie comunemente utilizzate da programmatori o team di sicurezza per ispezionare una pagina web, rendendo più difficile per gli analisti investigare la pagina web per codice sospetto, cronologia del browser e altro (vedi sotto).

Inserzione 2FA di Tycoon per i tasti premuti

La pagina web è stata progettata per bloccare l'azione quando viene premuto uno di questi tasti di scelta rapida.

Abbiamo anche osservato una versione alternativa dello script sopra in cui le chiavi sono sostituite con i loro valori decimali ASCII (vedi sotto):

Tycoon 2FA sostituendo i valori decimali ASCII
Se gli strumenti per sviluppatori sono aperti, il software attiverà misure che portano a ritardi nel funzionamento. Se il ritardo supera una certa soglia, suggerendo che gli strumenti per sviluppatori sono attivi, la pagina reindirizzerà l'utente a un sito esterno legittimo e non correlato, in questo caso, https://www.onedrive.com.
Tycoon 2FA blocco strumenti per sviluppatori

Ulteriori caratteristiche dirompenti

L'ultima versione di Tycoon 2FA ha disabilitato il menu contestuale del clic destro, che altrimenti potrebbe consentire agli utenti di ispezionare, salvare elementi o ottenere ulteriori informazioni sul vero intento della pagina.

Abbiamo anche osservato l'uso di offuscamento del codice per oscurare il contenuto delle pagine web. Questo approccio è spesso utilizzato per rendere il codice più difficile da leggere.

Infine, ma non meno importante, abbiamo osservato strumenti utilizzati per impedire agli utenti di copiare testo significativo dalla pagina web sovrascrivendo automaticamente il contenuto degli appunti con una stringa specificata, ostacolando così l'estrazione dei dati.

Queste sono state le modifiche più significative nella versione più recente di Tycoon 2FA. Continuiamo a scavare più a fondo in questo kit di phishing e in altri per imparare a conoscere la loro funzionalità e come proteggere tutti da tali attacchi.

Conclusione

Nel 2025, il phishing non è più una minaccia basilare, ma un vettore di attacco complesso e sofisticato che è sempre più ben finanziato. I gruppi PhaaS svolgono un ruolo chiave nell'orientare questa evoluzione.

Abbiamo osservato l'uso di Tycoon 2FA in numerose campagne di phishing negli ultimi mesi. Ci aspettiamo che i cyberattaccanti continuino a perfezionare i loro metodi per aggirare le misure di sicurezza tradizionali e ostacolare analisi più approfondite. È essenziale avere strategie di difesa agili, innovative, multilivello e promuovere una cultura della sicurezza forte per rimanere un passo avanti rispetto a questa minaccia in continua evoluzione.

Cerca strumenti di sicurezza che si evolvono continuamente in linea con le minacce emergenti, migliorando le regole di corrispondenza dei pattern, monitorando gli IOC e ottimizzando le soluzioni di sicurezza.

Rapporto: Le principali minacce e tendenze via email
Deerendra Prasad

Deerendra Prasad è un Associate Threat Analyst nel team di analisti delle minacce presso Barracuda Networks, con un anno di esperienza pratica nella cybersecurity. È appassionato di rimanere al passo con le minacce emergenti e ama lavorare su progetti legati all'hacking etico.

Post correlati:
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
 Ritorno a scuola, ritorno alle truffe
Ritorno a scuola, ritorno alle truffe
 Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
 Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.