Tycoon 2FA es una plataforma de phishing como servicio (PhaaS) que se vio por primera vez en agosto de 2023. Como muchos kits de phishing, este elude protecciones de autenticación multifactor (MFA) y supone una amenaza significativa para los usuarios.
Últimamente, Tycoon 2FA ha acaparado atención por la aparición de campañas diseñadas para atacar cuentas de Microsoft 365 y Gmail. Esta plataforma como servicio, al igual que muchos kits de phishing, funciona con la técnica de phishing AiTM (adversario en el medio) para recopilar cookies de sesión. Los atacantes utilizan estas cookies para saltarse controles de acceso MFA en una autenticación posterior, entrando así de manera no autorizada a cuentas, sistemas y servicios en cloud, incluso de personas que cuentan con medidas de seguridad adicionales.
Según expertos del equipo de investigación de amenazas de Proofpoint, Tycoon 2FA se basa en una infraestructura controlada por el atacante para alojar la página web de phishing. Mediante el uso de un proxy inverso, la plataforma permite interceptar las credenciales ingresadas por las víctimas. Luego, estas se transmiten al servicio legítimo para un inicio de sesión exitoso y transparente, generando solicitudes de MFA, pero las cookies de sesión resultantes se transmiten ya a los ciberdelincuentes involucrados.
Desde finales del año pasado, se han observado páginas de destino de phishing con Tycoon 2FA para robar y eludir tokens MFA. Entre las técnicas a las que recurren los ciberdelincuentes para engañar a sus víctimas, destacan los enlaces maliciosos o archivos PDF con códigos QR enviados a través de email para dirigirlas a páginas falsas, o ataques a través de buzones de voz. Como temas de señuelo, funcionan aquellos asuntos relacionados con bonificaciones y aumentos de nómina en empresas, así como actualizaciones falsas.
“El grupo cibercriminal detrás de Tycoon 2FA vende páginas de phishing listas para usar con Microsoft 365 y Gmail en Telegram, con unos precios desde unos 120 dólares por diez días de acceso al servicio. Un modelo de negocio que amplía el número potencial de atacantes, porque permite que actores menos capacitados técnicamente lancen sofisticados ataques de phishing”, destacan los investigadores de Proofpoint.
En marzo de 2024 salió una versión actualizada del kit Tycoon 2FA con capacidades mejoradas que hacen aún más difícil para los sistemas de seguridad su identificación, gracias a modificaciones significativas en el código JavaScript y HTML para mayor sigilo y eficacia.
Del lado de la ciberdefensa, se lleva detectando y bloqueando la actividad asociada con servicios de proxy inverso algún tiempo, incluyendo las plataformas Evilginx y EvilProxy. Muchos atacantes siguen utilizando kits de phishing simples que no están diseñados para eludir MFA, aunque el uso de herramientas capaces de robar tokens de sesión está aumentando entre actores de phishing e intermediarios de acceso inicial (IAB). Esta tendencia está creando una necesidad urgente para que los defensores amplíen la detección, remediación y gestión de riesgos humanos en este espacio.
Para un enfoque de defensa en profundidad contra Tycoon 2FA, se están poniendo en práctica soluciones combinadas de IA conductual, inteligencia sobre amenazas y concienciación de seguridad. Los análisis de comportamiento pueden ayudar a identificar y bloquear las páginas de destino de Tycoon 2FA, así como la actividad de phishing, mientras que una mayor visibilidad proporcionará información para identificar amenazas conocidas y otras emergentes. Siempre con ejemplos del mundo real para dar a los usuarios finales los conocimientos que necesitan para reconocer y responder adecuadamente a estos riesgos potenciales.
