Veelgebruikte ‘Tycoon 2FA’ Phishing-as-a-Service kan detectie omzeilen

22 januari 2025

Tycoon 2FA Phishing-as-a-Service (PhaaS) is bijge­werkt om het voor secu­ri­ty­op­los­singen moei­lijker te maken om te contro­leren op scha­de­lijke intentie en om de bijbe­ho­rende webpagina’s te inspec­teren, volgens onder­zoe­kers van Barracuda. De bevin­dingen laten zien dat PhaaS-ontwik­ke­laars aanzien­lijk inves­teren in het bouwen van geavan­ceerde toolsets en templates waarmee cyber­aan­val­lers detectie proberen te omzeilen en waarmee ze snel complexe en doel­ge­richte phis­hing­cam­pagnes kunnen opzetten.

Volgens de onder­zoe­kers van Barracuda werd in 2024 bij ongeveer 30% van de pogingen om inlog­ge­ge­vens te stelen gebruik­ge­maakt van PhaaS en zal dit naar verwach­ting dit jaar stijgen tot 50%.

Met Tycoon 2FA kunnen aanval­lers twee­f­ac­to­r­au­then­ti­catie (2FA) secu­ri­ty­maat­re­gelen onder­scheppen en omzeilen door sessiecookies van Microsoft 365 te verza­melen en te misbruiken. Begin november 2024 merkten de onder­zoe­kers een toename van het gebruik van een nieuwe versie van Tycoon 2FA die gebruik­maakt van een reeks geavan­ceerde tactieken om detectie en analyse te belemmeren. 

Daarbij gaat het onder andere om:

  • Het gebruik van legitieme – mogelijk gecom­pro­mit­teerde – e‑mailaccounts om aanvallen uit te voeren;
  • Speciaal ontworpen broncode om analyse van webpagina’s te verhinderen;
  • Tech­nieken die geau­to­ma­ti­seerde secu­ri­ty­scripts en ‑tools blokkeren die worden gebruikt om vast te stellen of webpagina-code kwaad­aardig is, zoals het pene­tra­tie­test­pro­gramma ‘Burp’. Als zulke tools worden gede­tec­teerd, wordt de gebruiker omgeleid naar een lege pagina, zodat verdere analyse niet mogelijk is.
  • Detec­teren en blokkeren van toets­com­bi­na­ties of snel­kop­pe­lingen die vaak door program­meurs of secu­ri­ty­teams worden gebruikt om webpagina’s te inspec­teren. Zo wordt het moei­lijker voor analisten om de webpagina te checken op verdachte code, brow­ser­ge­schie­denis, etc.
  • Uitscha­kelen van het rechts­klik­menu, dat de ware intentie van webpagina’s kan onthullen;
  • Voorkomen dat gebrui­kers tekst van de webpagina kopiëren voor offline analyse.

“Phishing heeft zich ontwik­keld tot een complexe en geavan­ceerde aanvals­me­thode waarbij steeds meer middelen worden ingezet”, zegt Deerendra Prasad, Associate Threat Analyst bij Barracuda. “PhaaS-groepen spelen een sleu­telrol in dit nieuwe ecosys­teem en we verwachten dat hun rol zal toenemen. We hebben gezien dat Tycoon 2FA de afgelopen maanden is gebruikt bij tal van phis­hing­cam­pagnes en we verwachten dat aanval­lers hun methoden blijven verfijnen om tradi­ti­o­nele secu­ri­ty­maat­re­gelen te omzeilen en diepere analyses te voorkomen. Het is essen­tieel om flexibele en inno­va­tieve, meer­laagse verde­di­ging te imple­men­teren en te zorgen voor een sterke secu­ri­ty­cul­tuur om deze steeds veran­de­rende dreiging voor te blijven.”

Lees de blog voor meer infor­matie: https://​blog​.barracuda​.com/​2​0​2​5​/​0​1​/​2​2​/​t​h​r​e​a​t​-​s​p​o​t​l​i​g​h​t​-​t​y​c​o​o​n​-​2​f​a​-​p​h​i​s​h​i​n​g​-kit

redactie@belgiumcloud

Persberichten, blogs en andere content kunt u mailen naar robbert@belgiumcloud.com

Barracuda cybersecurity Tycoon 2FA

Pin It on Pinterest

Share This