Tycoon 2FA Phishing-as-a-Service (PhaaS) is bijge­werkt om het voor securi­ty­op­los­singen moeilijker te maken om te contro­leren op schade­lijke intentie en om de bijbe­ho­rende webpagina’s te inspec­teren, volgens onder­zoe­kers van Barra­cuda. De bevin­dingen laten zien dat PhaaS-ontwik­ke­laars aanzien­lijk inves­teren in het bouwen van geavan­ceerde toolsets en templates waarmee cyber­aan­val­lers detectie proberen te omzeilen en waarmee ze snel complexe en doelge­richte phishing-campagnes kunnen opzetten.

Volgens de onder­zoe­kers van Barra­cuda werd in 2024 bij ongeveer 30% van de pogingen om inlog­ge­ge­vens te stelen gebruik­ge­maakt van PhaaS en zal dit naar verwach­ting dit jaar stijgen tot 50%.

---

---

Met Tycoon 2FA kunnen aanval­lers tweef­ac­to­r­au­then­ti­catie (2FA) securi­ty­maat­re­gelen onder­scheppen en omzeilen door sessiecookies van Micro­soft 365 te verza­melen en te misbruiken. Begin november 2024 merkten de onder­zoe­kers een toename van het gebruik van een nieuwe versie van Tycoon 2FA die gebruik­maakt van een reeks geavan­ceerde tactieken om detectie en analyse te belemmeren. 

Daarbij gaat het onder andere om:

• Het gebruik van legitieme – mogelijk gecom­pro­mit­teerde – e‑mailaccounts om aanvallen uit te voeren;
• Speciaal ontworpen broncode om analyse van webpagina’s te verhinderen;
• Technieken die geauto­ma­ti­seerde securi­ty­scripts en ‑tools blokkeren die worden gebruikt om vast te stellen of webpa­gina-code kwaad­aardig is, zoals het penetra­tie­test­pro­gramma ‘Burp’. Als zulke tools worden gedetec­teerd, wordt de gebruiker omgeleid naar een lege pagina, zodat verdere analyse niet mogelijk is.
• Detec­teren en blokkeren van toets­com­bi­na­ties of snelkop­pe­lingen die vaak door program­meurs of securi­ty­teams worden gebruikt om webpagina’s te inspec­teren. Zo wordt het moeilijker voor analisten om de webpa­gina te checken op verdachte code, browser­ge­schie­denis, etc.
• Uitscha­kelen van het rechts­klik­menu, dat de ware intentie van webpagina’s kan onthullen;
• Voorkomen dat gebrui­kers tekst van de webpa­gina kopiëren voor offline analyse.

“Phishing heeft zich ontwik­keld tot een complexe en geavan­ceerde aanvals­me­thode waarbij steeds meer middelen worden ingezet”, zegt Deerendra Prasad, Associate Threat Analyst bij Barra­cuda. “PhaaS-groepen spelen een sleutelrol in dit nieuwe ecosys­teem en we verwachten dat hun rol zal toenemen. We hebben gezien dat Tycoon 2FA de afgelopen maanden is gebruikt bij tal van phishing­cam­pagnes en we verwachten dat aanval­lers hun methoden blijven verfijnen om tradi­ti­o­nele securi­ty­maat­re­gelen te omzeilen en diepere analyses te voorkomen. Het is essen­tieel om flexi­bele en innova­tieve, meerlaagse verde­di­gingte imple­men­teren en te zorgen voor een sterke securi­ty­cul­tuur om deze steeds veran­de­rende dreiging voor te blijven.”

Lees de blog voor meer infor­matie: https://​blog​.barra​cuda​.com/​2​0​2​5​/​0​1​/​2​2​/​t​h​r​e​a​t​-​s​p​o​t​l​i​g​h​t​-​t​y​c​o​o​n​-​2​f​a​-​p​h​i​s​h​i​n​g​-kit