Tycoon2FA-plattformen for phishing har dukket opp igjen med en ny angrepsmetode som kaprer Microsoft 365-kontoer gjennom phishing med enhetskoder. Forskere advarer om at den oppdaterte kampanjen gjør det mulig for angripere å få kontotilgang uten å stjele passord direkte, noe som gjør angrepene vanskeligere å oppdage og stoppe.
Tycoon2FA fikk allerede tidligere oppmerksomhet for å omgå multifaktorautentisering gjennom avanserte adversary-in-the-middle-angrep. Sikkerhetseksperter sier nå at operatørene har oppgradert plattformen etter at myndigheter nylig slo til mot infrastrukturen bak tjenesten.
Angripere misbruker Microsofts enhetsautentisering
Ifølge forskere utnytter de nyeste Tycoon2FA-kampanjene Microsofts legitime OAuth-flyt for enhetsautentisering. Angriperne lurer ofrene til å skrive inn autentiseringskoder på Microsofts ekte innloggingsportal for enheter.
Når ofrene godkjenner forespørselen, mottar angriperne gyldige autentiseringstokener knyttet til den målrettede Microsoft 365-kontoen. Denne metoden gjør det mulig for trusselaktører å få tilgang uten å stjele passord direkte.
Forskerne sier at angrepene ofte starter med phishing-eposter forkledd som talemeldinger eller fakturarelaterte varsler. Ofrene klikker på lenker som passerer gjennom pålitelige tjenester før de ender opp på angriperkontrollert infrastruktur.
Fordi brukerne samhandler med legitime Microsoft-sider under prosessen, fremstår angrepet som langt mer troverdig enn tradisjonelle phishingkampanjer.
MFA-beskyttelse blir vanskeligere å håndheve
Sikkerhetsforskere advarer om at phishing med enhetskoder skaper store utfordringer for tradisjonelle MFA-beskyttelser. I stedet for å fange opp innloggingsinformasjon gjennom falske økter, overtaler angriperne ofrene til å godkjenne den skadelige tilgangen selv.
Teknikken gjør det mulig for angripere å omgå mange standard MFA-forsvar samtidig som de opprettholder vedvarende tilgang gjennom OAuth-tokener.
Den oppdaterte Tycoon2FA-plattformen retter seg ifølge rapportene mot Microsoft Authentication Broker, som håndterer tokenadministrasjon på tvers av Microsoft 365-tjenester. Vellykkede angrep kan gi tilgang til Outlook, Teams, OneDrive, SharePoint og andre bedriftsressurser.
Forskere advarer stadig oftere om at token-tyveri har blitt mer verdifullt for angripere enn passordtyveri, fordi gyldige tokener i enkelte tilfeller kan opprettholde tilgang selv etter passordendringer.
Tycoon2FA kom tilbake etter myndighetsaksjon
Tidligere i år slo internasjonale myndigheter til mot Tycoon2FA-infrastrukturen gjennom en koordinert operasjon mellom Europol og Microsoft. Myndighetene beslagla hundrevis av domener knyttet til phishingplattformen.
Forskerne sier imidlertid at operatørene raskt bygde opp infrastrukturen igjen og gjenopptok phishingkampanjene i løpet av få uker.
De nyeste kampanjene inneholder ifølge rapporter sterkere beskyttelse mot analyse, oppdatert infrastruktur og forbedrede filtreringssystemer som skal unngå oppdagelse fra forskere og sikkerhetsverktøy.
Forskerne har også observert økende misbruk av legitime skytjenester og pålitelige plattformer under angrepene. Trusselaktører skjuler i økende grad phishingaktivitet i normal nettverkstrafikk for å gjøre oppdagelse vanskeligere.
Forskere advarer mot økende OAuth-misbruk
Sikkerhetseksperter mener phishing-as-a-service-plattformer utvikler seg raskt etter hvert som cyberkriminelle tar i bruk mer avanserte teknikker for autentiseringsmisbruk.
Forskerne anbefaler at organisasjoner begrenser unødvendige OAuth-flyter for enhetsautentisering, reduserer samtykketillatelser og styrker betingede tilgangspolicyer der det er mulig.
Organisasjoner oppfordres også til å overvåke uvanlig aktivitet knyttet til enhetsautentisering nøye og forbedre rutiner for tilbakekalling av tokener. Sikkerhetsteam fokuserer stadig mer på mistenkelig OAuth-aktivitet fordi angripere fortsetter å bevege seg bort fra tradisjonelt passordtyveri.
Konklusjon
Tycoon2FA-phishingangrep blir stadig mer avanserte etter hvert som cyberkriminelle bruker phishing med enhetskoder og misbruk av OAuth-tokener for å kompromittere Microsoft 365-kontoer.
Forskere advarer om at kampanjene viser hvordan phishingoperasjoner fortsetter å utvikle seg utover tradisjonell stjeling av innloggingsinformasjon. Etter hvert som angripere i økende grad retter seg mot autentiseringstokener og pålitelige innloggingsflyter, vil organisasjoner sannsynligvis møte økende press for å styrke identitetssikkerhet og overvåking av tilgang.
0 responses to “Tycoon2FA-phishing kaprer Microsoft 365-kontoer”