Tykit adathalász hullám
Az ANY.RUN kutatói adathalász készletet azonosítottak, amit Tykit néven követnek, és ami több iparágban is aktív és nagyszámú Microsoft 365 fiókot célzott meg. A kutatás szerint az első minták már 2025 májusában feltűntek, a kampány pedig szeptember–októberben érte el csúcsát. A támadás során a rosszindulatú szereplők egy olyan SVG fájlt használnak fel, amelybe JavaScript-kód van ágyazva. Ez a kép átkódolja (XOR-nal) saját kódját, majd az eval() függvénnyel végrehajtja azt, és a gyanútlan felhasználót visszairányítja egy hamis Microsoft 365 bejelentkező oldalra. Az SVG-formátum miatt a fájl eleinte ártatlan képként jelenhet meg, így a védelem számára is nehezebb felismerni.
A támadók nem egyszerű statikus adathalász oldalt használnak: több lépéses folyamatot alkalmaznak, amelyben először egy trampoline átirányítás történik, majd CAPTCHA-ellenőrzés következik, csak ezután kerül sor a tényleges felhasználói adat bekérésére. Ezzel az automatizált detekciós rendszerek kijátszhatók, mivel a kitöltés „látszólag” emberi interakciót mutat.
Az adatlopás mögötti logika is kifinomult, a kitesized JSON formátumban küldi el a felhasználó e-mail címét, majd a jelszót, a kit icon-ként egy „/api/login” végpont felé — míg a szerver a választól függően dönti el, hogy hibát jelez, visszairányít, vagy további adatokat kér. Az ilyen átirányítások és többállomásos logika lehetővé teszi, hogy a támadás sokkal élesebbnek, valódinak tűnjön a felhasználó számára.
A Tykit több iparágat is célzott, pénzügy, IT, építőipar, kormányzat, telekommunikáció — földrajzi értelemben pedig Észak-Amerika, Latin-Amerika, Dél-Kelet-Ázsia, a Közel-Kelet és Európa is érintett volt.
