Barracuda ha analizzato i cambiamenti avvenuti dopo la chiusura di Tycoon 2FA, tra le principali piattaforme di phishing-as-a-service (PhaaS), responsabile di oltre 9 milioni di attacchi al mese. Avvenuto all’inizio di marzo grazie a un’operazione internazionale, lo smantellamento della piattaforma ha causato un grave contraccolpo, riducendo l’attività di questo kit di phishing del 77%.
Il phishing Tycoon 2FA, smantellato sì ma non scomparso
Tuttavia, altri attori sono rapidamente intervenuti per accaparrarsi la quota di mercato di Tycoon, riorganizzandosi e attingendo dagli strumenti, le tecniche e le capacità di cui si serviva. Mamba 2FA è diventata la piattaforma di phishing dominante, con attacchi raddoppiati fino a 15 milioni al mese; EvilProxy è salita a circa 4 milioni di attacchi,. Mentre Sneaky 2FA ha triplicato la propria attività, raggiungendo quasi i 2 milioni. Da sottolineare però che, nonostante il blocco, Tycoon 2FA è ancora responsabile di oltre 2 milioni di attacchi al mese.
Le campagne su piccola scala rimangono nascoste
Secondo gli esperti di Barracuda, questa persistenza è dovuta a diversi fattori. Innanzitutto, non tutti gli elementi della piattaforma sono dismessi, consentendo a versioni del codice clonate e modificate di continuare a circolare. Gli autori degli attacchi oggi riutilizzano e adattano sempre più spesso anche il codice di phishing, trattando gli ecosistemi PhaaS quasi come ambienti open source, dove gli strumenti si evolvono e migrano. Inoltre, le infrastrutture residue – come i domini attivi e l’hosting di backup – consentono alle campagne su piccola scala di persistere senza essere individuate. Non solo: i moderni framework di phishing includono una ridondanza integrata, che consente una rapida reimplementazione dopo un’interruzione. Infine, i dati di sessione e i token rubati possono mantenere l’accesso non autorizzato anche dopo che l’infrastruttura è stata smantellata. Così le organizzazioni possono rimanere compromesse anche una volta che la campagna di phishing è terminata.
Dopo il phishing Tycoon 2FA ecco la nuova frontiera delle prossime campagne
Allo stesso tempo, gli hacker stanno adottando tecniche sempre più sofisticate. Il phishing del codice dispositivo si è affermato come una minaccia in rapida crescita, con 7 milioni di attacchi rilevati in sole 4 settimane. Questo metodo è stato industrializzato tramite strumenti di phishing-as-a-service, come il kit EvilTokens, e sfrutta i flussi di autenticazione legittimi utilizzati da servizi quali Microsoft 365 ed Entra ID. Così da ottenere un accesso persistente e autorizzato.
L’autenticazione tramite codice dispositivo consente agli utenti di accedere a un dispositivo inserendo un breve codice su un altro device affidabile. Un metodo che viene spesso utilizzato per strumenti con interfacce limitate (tv, stampanti o strumenti con interfaccia a riga di comando). In genere, gli aggressori richiedono un codice dispositivo reale a Microsoft e poi inviano alle vittime un’esca di phishing che le induce a inserire il codice in una pagina di accesso legittima. Quando la vittima completa l’autenticazione, l’aggressore riceve token di accesso e di aggiornamento OAuth validi.
I vantaggi rispetto al phishing tradizionale con Phishing Tycoon 2FA
Utilizza URL autentici, rendendo più difficile il rilevamento. Il phishing tradizionale invece richiede un sito web falso convincente, che i filtri delle e-mail possono individuare facilmente.
Questo metodo aggira l’autenticazione a più fattori e le policy di accesso condizionale, poiché è la vittima stessa ad autorizzare il nuovo dispositivo.
Consente un accesso continuativo per giorni o settimane grazie ai token di aggiornamento.
Sfrutta la familiarità degli utenti con le procedure di collegamento dei dispositivi.
Consente di dirottare le sessioni in modo invisibile senza attivare alcun allarme, rendendo così possibile il movimento laterale.
Un attacco di phishing tramite codice dispositivo andato a buon fine può consentire quindi un accesso prolungato agli ambienti di posta elettronica e di gestione delle identità nel cloud senza che sia necessario rubare la password.
Saiga 2FA: l’evoluzione dei kit di phishing in piattaforme di attacco configurabili
Barracuda Research ha inoltre individuato nuove campagne che coinvolgono il kit di phishing Saiga 2FA, strumento di tipo ‘Adversary-in-the-Middle’ (AitM). Poco diffuso ma estremamente elusivo, è progettato per aggirare l’autenticazione multifattoriale e rubare i cookie di sessione dagli utenti di posta elettronica aziendale. Ciò che rende Saiga 2FA particolarmente pericoloso è la sua architettura dinamica basata sul web. Infatti fornisce pagine di phishing come applicazioni web a tutti gli effetti, con contenuti generati in tempo pressoché reale utilizzando JavaScript. Inoltre, Saiga utilizza un file di configurazione incorporato nell’applicazione web, che consente agli aggressori di personalizzare il flusso di phishing, compresa la modifica del tema di attacco durante la sessione.
Funzionalità ancora più avanzate e pericolose
Le tattiche elusive di Saiga includono l’uso di testo segnaposto Lorem Ipsum nei metadati, che rende più difficile per i sistemi di rilevamento segnalare i contenuti dannosi. Il kit integra inoltre uno strumento chiamato FM Scanner, che consente agli hacker di estrarre e analizzare i dati delle caselle di posta per utilizzarli in campagne successive. Infine, il kit fornisce una dashboard centralizzata e basata sul web per la gestione del ciclo di vita delle campagne, offrendo funzionalità avanzate come la configurazione dei domini, il filtro del traffico, la registrazione e l’automazione, distinguendosi dai kit di phishing più semplici che in genere si affidano a sistemi di logging di base come Telegram.
