De Tycoon 2FA, een platform voor phishing as a service (PhaaS), heeft de aandacht van cybersecurity experts getrokken sinds de introductie in augustus 2023. Deze tool vormt een belangrijke bedreiging, vooral vanwege het vermogen om beschermingen van multi-factor authenticatie (MFA) te omzeilen, een systeem dat veel wordt gebruikt voor het beveiligen van accounts zoals Microsoft 365 en Gmail. Tycoon 2FA gebruikt de phishing AiTM (tussenpersoon aanval) techniek, waardoor het sessiecookies kan verzamelen om MFA-controles te omzeilen en ongeautoriseerde toegang te krijgen tot accounts en cloudservices.
Onderzoekers van het Proofpoint team hebben gewaarschuwd dat Tycoon 2FA is gebaseerd op een infrastructuur die door cybercriminelen wordt beheerd om phishingpagina’s te hosten, waarbij een reverse proxy wordt gebruikt om de inloggegevens die slachtoffers invoeren te onderscheppen. Deze gegevens worden vervolgens naar de legitieme service gestuurd, waardoor een MFA-verzoek ontstaat, maar de resulterende sessiecookies worden naar de aanvallers gestuurd, die toegang kunnen krijgen tot de gecompromitteerde accounts.
Sinds eind 2023 zijn er campagnes gedetecteerd die Tycoon 2FA gebruiken om MFA-tokens te stelen. Aanvallers gebruiken methoden zoals kwaadaardige links of PDF-bestanden met QR-codes die via e-mail worden verzonden, evenals valse voicemailberichten om slachtoffers naar frauduleuze pagina’s te leiden. De meest voorkomende lokmiddelen bevatten onderwerpen gerelateerd aan bonus betalingen of valse zakelijke updates.
Volgens de experts van Proofpoint zijn de cybercriminelen die achter Tycoon 2FA opereren begonnen met het verkopen van gebruiksklare phishingpagina’s via Telegram, met prijzen die beginnen bij 120 dollar voor tien dagen toegang tot de service. Dit maakt het mogelijk voor zelfs aanvallers met weinig technische vaardigheid om geavanceerde phishingaanvallen uit te voeren.
In maart 2024 werd een geüpdatet versie van de Tycoon 2FA-kit gelanceerd, met significante verbeteringen aan de JavaScript en HTML code, waardoor het nog moeilijker te detecteren is door beveiligingssystemen. Platforms zoals Evilginx en EvilProxy, die ook reverse proxies gebruiken, worden al gemonitord en geblokkeerd door verdedigers, hoewel het gebruik van tools om sessietokens te stelen nog steeds toeneemt onder phishing acteurs en Initial Access Brokers (IAB).
Om bedreigingen zoals Tycoon 2FA tegen te gaan, suggereren experts een aanpak van verdediging in diepte, waarbij gedragsgerichte AI, dreigingsinformatie en security awareness worden gecombineerd. Gedragsanalyse kan helpen bij het identificeren van phishingpagina’s en verdachte activiteit, terwijl verhoogde zichtbaarheid van opkomende dreigingen essentieel is voor het beschermen van gebruikers. Daarnaast is het essentieel om eindgebruikers op te leiden over het herkennen van deze risico’s om te voorkomen dat ze het slachtoffer worden van dit soort aanvallen.