Tutti coloro che hanno un account Microsoft devono fare molta attenzione. Sono nel mirino degli hacker: così aggirano i sistemi di sicurezza.
Nuovo pericolo per tutti coloro che hanno un account Microsoft 365 e Gmail, visto che in queste ore sono finiti nel mirino di Tycoon 2FA. A rivelarlo ci hanno pensato gli analisti di Sekoia secondo i quali questo nuovo kit di phishing aggira ma non invalida il Multi-Factor Authentication. Proprio quest’ultimo è il sistema di difesa di Microsoft che riduce del 99,9% il rischio di violazione di un account. Il caso riguardante Tycoon 2FA sta facendo scalpore nonostante questo non sembrerebbe diminuire l’efficacia della MFA.
Questo perché si tratta di una tecnica di phishing che risulta più efficace di altre, ma comunque stiamo parlando del solito metodo per raggirare le persone. La nuova piattaforma arriva ad offrire servizi di phishing-as-a-service. A mostrare la nuova modalità di attacco ci ha pensato Threat Intelligence Analyst di Swascan. Questa permetterebbe al Threat Actor di copiare dei portali di login Microsoft, usando tecniche di Adversary-in-the-Middle. Scoperto l’inganno è possibile andare a vedere nel dettaglio come funziona e come mitigare il rischio.
Microsoft, se hai un account corri un pericolo: il nuovo metodo di phishing
Negli ultimi tempi i criminali informatici stanno sempre più spesso utilizzando una nuova piattaforma di phishing-as-a-service (PhaaS) chiamata Tycoon 2FA per attaccare gli account Microsoft 365 e Gmail e superare le protezioni dell’autenticazione a due fattori (2FA). Tale scoperta risale all’ottobre 2023 quando gli analisti di Sekoia durante i loro controlli abituali hanno individuato questa nuova minaccia. La piattaforma è attiva dallo scorso agosto e ha rivelato come Tycoon 2FA presenta somiglianze con altre piattaforme adversary-in-the-middle (AitM).
A partire da quest’anno Tycoon 2FA ha rilasciato una nuova versione più sofisticata ed evasiva, dimostrando la sua capacità di adattarsi e migliorare nel tempo. Attualmente il servizio utilizza circa 1.100 domini ed è stato coinvolto in migliaia di attacchi di phishing. Gli attacchi Tycoon 2FA coinvolgono diverse fasi, durante le quali l’attaccante ruba i cookie di sessione, intercetta i dati della vittima e aggira le misure di autenticazione a due fattori (MFA).
Nella prima fase gli aggressori distribuiscono link dannosi tramite email o codici QR incorporati. Una volta che l’utente completa la fase MFA, il server intermedio cattura i cookie di sessione, permettendo all’aggressore di riprodurre la sessione dell’utente e aggirare il MFA. Le modifiche principali apportate a Tycoon 2FA includono aggiornamenti al codice JavaScript e HTML, modifiche nell’ordine di recupero delle risorse e un filtraggio più esteso per bloccare il traffico da bot e strumenti analitici.
Il kit quindi ritarda il caricamento delle risorse malevole fino alla risoluzione della sfida di Cloudflare Turnstile, utilizzando nomi pseudo-random per gli URL per oscurare le sue attività. Tycoon 2FA si è aggiunto a un panorama già ricco di piattaforme PhaaS, come LabHost, Greatness e Robin Banks, tutte capaci di superare le protezioni 2FA.
Ad ogni modo, è sempre possibile proteggersi dagli attacchi di Phishing. Per farlo ti basterà implementare l’autenticazione a due fattori o la Multi-Factor Authentication. Con una maggiore consapevolezza degli utenti è possibile ridurre il rischio di cadere vittime di questi sofisticati attacchi. Al giorno d’oggi l’educazione informatica resta importantissima per evitare queste insidie.
