Foto: BleepingComputer
Tycoon2FA phishing kit sada podržava napade putem OAuth 2.0 device authorization grant toka i zlorabi Trustifi click-tracking URL-ove za preuzimanje Microsoft 365 računa. Prema novim nalazima tvrtke eSentire, riječ je o nastavku razvoja alata koji je nakon međunarodne policijske akcije u ožujku ponovno postavljen na novu infrastrukturu i vratio se na uobičajenu razinu aktivnosti.
Istraživači navode da je u napadu krajem travnja zabilježena kampanja koja koristi device-code phishing za kompromitaciju Microsoft 365 računa. Taj tip napada funkcionira tako da napadač pošalje zahtjev za autorizaciju uređaja prema pružatelju usluge, a zatim žrtvi proslijedi generirani kod i navede je da ga unese na legitimnoj Microsoftovoj stranici za prijavu. Nakon toga napadač može registrirati lažni uređaj uz račun žrtve i dobiti pristup podacima i uslugama, uključujući e-poštu, kalendar i pohranu datoteka u cloudu.
eSentire opisuje da napad počinje kada žrtva klikne na Trustifi URL za praćenje u prijevarnoj e-poruci, a završava tako da žrtva nesvjesno odobrava OAuth tokene uređaju kojim upravlja napadač kroz Microsoftov legitimni device-login tok na adresi microsoft.com/devicelogin. Tvrtka navodi i da je veza između tih dviju točaka ostvarena kroz četveroslojni lanac isporuke u pregledniku, a da je Tycoon 2FA taktika praktički nepromijenjena u odnosu na varijantu za relaying vjerodajnica koju je TRU dokumentirao u travnju 2025. i varijantu nakon uklanjanja platforme iz travnja 2026.
Prema istraživačima, phishing poruka s temom računa ili računa za plaćanje sadrži Trustifi URL za praćenje koji preusmjerava kroz Trustifi, Cloudflare Workers i više slojeva obfuskovanog JavaScripta, nakon čega žrtva završava na lažnoj Microsoftovoj CAPTCHA stranici. Phishing stranica dohvaća Microsoftov OAuth device code iz napadačeve pozadinske infrastrukture i upućuje žrtvu da ga kopira i zalijepi na microsoft.com/devicelogin, nakon čega žrtva završava višefaktorsku autentifikaciju na svojoj strani. Nakon tog koraka Microsoft izdaje OAuth pristupne i osvježavajuće tokene uređaju kojim upravlja napadač.
eSentire dodaje da Tycoon2FA ima opsežnu zaštitu protiv istraživača i automatiziranog skeniranja. Kit prepoznaje Selenium, Puppeteer, Playwright i Burp Suite, blokira sigurnosne dobavljače, VPN-ove, sandučiće za analizu, AI crawlers i cloud providere te koristi vremenske zamke za debugger. Zahtjevi s uređaja koji upućuju na analitičko okruženje automatski se preusmjeravaju na legitimnu Microsoftovu stranicu, navode istraživači. Oni su pronašli i da se blocklista u kitu trenutačno sastoji od 230 naziva dobavljača te se stalno ažurira.
eSentire preporučuje isključivanje OAuth device code flowa kada nije potreban, ograničavanje OAuth consent dopuštenja, obvezno odobrenje administratora za aplikacije trećih strana, uključivanje Continuous Access Evaluationa (CAE) i provođenje provjere usklađenosti uređaja, no konkretne korake treba uskladiti s internim sigurnosnim postavkama i korištenim Microsoft 365 okruženjem.
Vezane vijesti
