Tycoon 2FA es una plataforma de phishing como servicio (PhaaS), detectada por primera vez en agosto de 2023. Al igual que otros kits de phishing, Tycoon 2FA es capaz de evadir protecciones de autenticación multifactor (MFA), representando una amenaza significativa para los usuarios. Recientemente, ha llamado la atención por su uso en campañas dirigidas a comprometer cuentas de Microsoft 365 y Gmail. Esta plataforma emplea la técnica de phishing AiTM (adversario en el medio) para recolectar cookies de sesión, permitiendo a los atacantes eludir los controles de acceso MFA y acceder de forma no autorizada a cuentas y servicios en la nube, incluso cuando están protegidos por medidas de seguridad adicionales.
Expertos del equipo de investigación de amenazas de Proofpoint señalan que Tycoon 2FA opera mediante una infraestructura controlada por el atacante para alojar páginas de phishing. Utilizando un proxy inverso, la plataforma intercepta las credenciales introducidas por las víctimas y las transmite al servicio legítimo para completar el inicio de sesión. Aunque se generan solicitudes de MFA, las cookies de sesión resultantes son enviadas a los ciberdelincuentes, quienes las utilizan para acceder a los sistemas.
Desde finales de 2022, se han identificado numerosas páginas de phishing asociadas con Tycoon 2FA, diseñadas para robar y eludir tokens MFA. Entre las tácticas empleadas por los atacantes se encuentran enlaces maliciosos y archivos PDF con códigos QR, enviados a través de correos electrónicos para redirigir a las víctimas a sitios web falsos, así como ataques a través de buzones de voz. Los temas señuelo más utilizados incluyen falsas bonificaciones, aumentos de salario y actualizaciones corporativas.
“El grupo cibercriminal detrás de Tycoon 2FA vende páginas de phishing listas para usar con Microsoft 365 y Gmail en Telegram, con unos precios desde unos 120 dólares por diez días de acceso al servicio. Un modelo de negocio que amplía el número potencial de atacantes, porque permite que actores menos capacitados técnicamente lancen sofisticados ataques de phishing”, destacan los investigadores deProofpoint.
En marzo de 2024 salió una versión actualizada del kit Tycoon 2FA con capacidades mejoradas que hacen aún más difícil para los sistemas de seguridad su identificación, gracias a modificaciones significativas en el código JavaScript y HTML para mayor sigilo y eficacia.
Del lado de la ciberdefensa, se lleva detectando y bloqueando la actividad asociada con servicios de proxy inverso algún tiempo, incluyendo las plataformas Evilginx y EvilProxy. Muchos atacantes siguen utilizando kits de phishing simples que no están diseñados para eludir MFA, aunque el uso de herramientas capaces de robar tokens de sesión está aumentando entre actores de phishing e intermediarios de acceso inicial (IAB). Esta tendencia está creando una necesidad urgente para que los defensores amplíen la detección, remediación y gestión de riesgos humanos en este espacio.
Para un enfoque de defensa en profundidad contra Tycoon 2FA, se están poniendo en práctica soluciones combinadas de IA conductual, inteligencia sobre amenazas y concienciación de seguridad. Los análisis de comportamiento pueden ayudar a identificar y bloquear las páginas de destino de Tycoon 2FA, así como la actividad de phishing, mientras que una mayor visibilidad proporcionará información para identificar amenazas conocidas y otras emergentes. Siempre con ejemplos del mundo real para dar a los usuarios finales los conocimientos que necesitan para reconocer y responder adecuadamente a estos riesgos potenciales.