Sofisticirana phishing kampanja koja koristi zajedničku infrastrukturu između dvije istaknute sajber kriminalne operacije pojavila se kao značajna prijetnja korisnicima Office 365 širom svijeta.
Platforma Tycoon2FA Phishing-as-a-Service, koja je aktivna od augusta 2023. godine, uspostavila je operativne veze sa ozloglašenom grupom Storm-1575, poznatom i kao Dadsec, stvarajući snažan savez u ekosistemu sajber kriminala.
Ova saradnja predstavlja zabrinjavajuću evoluciju u taktikama krađe identiteta (phishing), gdje hakeri dijele resurse i infrastrukturu kako bi pojačali svoje mogućnosti napada na poslovne ciljeve.
Metodologija napada koju koristi ova zajednička operacija fokusira se na tehnike protivnika u sredini (AiTM) posebno dizajnirane za zaobilaženje zaštite višefaktorske autentifikacije .
.webp)
Sajber kriminalci distribuišu phishing e-poruke koje sadrže maliciozne priloge ili ugrađene linkove koji preusmjeravaju žrtve kroz složeni lanac kompromitovanih domena i servisa za preusmjeravanje.
Kampanja koristi jedinstvene PHP resurse, uključujući „res444.php“, „cllascio.php“ i „.000.php“ kao mehanizme isporuke korisnog tereta, pri čemu posljednja dva predstavljaju najnovije prilagodbe uočene od marta 2025. godine.
.webp)
Ovi napadi obično počinju mamacima socijalnog inženjeringa na temu ljudskih resursa, finansija ili sigurnosnih upozorenja kako bi se uspostavio kredibilitet i potaknulo angažiranje žrtve.
Analitičari Trustwavea identifikovali su brzo rastuću mrežu koja se sastoji od hiljada phishing stranica povezanih s kampanjom Tycoon2FA od jula 2024. godine, što ukazuje na razmjere i upornost ove prijetnje.
Analiza infrastrukture otkrila je konzistentne obrasce u cijeloj operaciji, uključujući predloške web stranica koje dijele jedinstvene HTML heševe tijela, implementaciju prilagođenih Cloudflare Turnstile izazova za zaštitu phishing stranica od automatske analize i poboljšane funkcije protiv analize koje prate alate za testiranje penetracije i detekciju pritiska tipki povezanih s web inspekcijom.
Uticaj kampanje proteže se dalje od jednostavne krađe akreditiva, jer AiTM mogućnosti omogućavaju napadačima da uhvate kolačiće sesije i tokene za autentifikaciju, što im omogućava da održe trajan pristup čak i nakon što žrtve promijene lozinke.
Tehnički mehanizam zaraze i isporuka korisnog tereta
Lanac infekcije Tycoon2FA demonstrira sofisticiranu tehničku složenost osmišljenu da izbjegne otkrivanje i održi istrajnost tokom cijelog životnog ciklusa napada.
.webp)
Kada žrtve pristupe početnom phishing linku, susreću se s višestepenim procesom preusmjeravanja koji počinje s domenama koje koriste Cyber Panel, platformu za web hosting otvorenog koda, obično koristeći .RU domene najvišeg nivoa sa specifičnim alfanumeričkim obrascima.
Domene imaju dužinu od 5-10 znakova, a poddomene se protežu od 15-20 znakova, stvarajući konzistentan otisak prsta za potrebe praćenja.
Osnovni mehanizam isporuke korisnog tereta oslanja se na rutine za dešifrovanje zasnovane na JavaScriptu ugrađene u maliciozne PHP datoteke.
Ove datoteke sadrže sadržaj kodiran Base64-om koji prolazi kroz dvostepeni proces deobfuskacije, počevši s tehnikama Cezarove šifre pomjerenim unatrag za pet pozicija prije standardnog Base64 dekodiranja.
Dekodirani sadržaj otkriva kritične parametre za AES-CBC dešifrovanje, uključujući kodirane podatke, vrijednosti soli za izvođenje PBKDF2 ključa, vektore inicijalizacije i lozinke potrebne za uspješno dešifriranje.
let randpattern = null;
if(route == "checkemail"){randpattern = /(pq|rs)[A-Za-z0-9]{0,10}(y2|12|30)[A-Za-z0-9]{2,7}(cv|wx)(3[1-9]|40)/gi}Nakon uspješne dešifracije, maliciozni softver generiše dinamički JavaScript koji stvara samostalno navigacijske sidrene elemente, programski usmjeravajući korisnike ka konačnoj phishing destinaciji.
Sistem uključuje više rezervnih mehanizama, uključujući stranice-mamce koje oponašaju legitimne platforme poput Microsoft Word Online-a ili medijskih plejera kada direktno prikupljanje podataka ne uspije.
Izvor: CyberSecurityNews