Tycoon 2FA fejlődése
Az ANY.RUN kutatói részletes elemzést végeztek a Tycoon 2FA Phishing-as-a-Service (PhaaS) platform védelmi elkerülési mechanizmusainak fejlődéséről. Megfigyeléseik szerint a platform folyamatosan új technikákat vezet be a detektálás elkerülése érdekében, beleértve a dinamikus kódgenerálást, obfuszkációt és a forgalomszűrést a botok blokkolására. A phishing e-maileket gyakran valós, esetlegesen kompromittált e-mail címekről küldik, növelve ezzel a támadások sikerességét.
A Tycoon 2FA több szakaszban alkalmaz különböző elkerülési technikákat. Az első szakaszban a forráskód obfuszkált, megnehezítve ezzel az automatikus rendszerek vagy elemzők számára a funkciók értelmezését. Ezenkívül egy “nomatch” ellenőrzést is bevezetnek, amely látszólag egy álértéket hasonlít össze, mindig hamis eredményt adva vissza, ami szolgálhat például a Cloudflare szolgáltatások számára jelzésként.
Az ANY.RUN elemzése szerint a Tycoon 2FA folyamatosan fejlődik, újabb és újabb elkerülési mechanizmusokat vezet be, mint például a forgó CAPTCHA-k (pl. Google reCAPTCHA, IconCaptcha, egyedi CAPTCHA-k) és a böngésző ujjlenyomat-vétel, hogy megvédje infrastruktúráját a keresőrobotoktól és a biztonsági megoldásoktól. Azonban bizonyos aspektusokban a Tycoon 2FA elkerülési mechanizmusai meglehetősen amatőrnek tűnnek. Például az összes megfigyelt mintában a C2 payloadok és az ellopott adatok titkosítása/dekódolása keménykódolt kulcsok és inicializációs vektorok (1234567890123456 mind a kulcs, mind az IV) segítségével történik. Ideális esetben minden munkamenethez egyedi kulcsokat kellene generálni a biztonság fokozása érdekében.
