Tycoon2FA-platformen til phishing er dukket op igen med en ny angrebsmetode, der kaprer Microsoft 365-konti gennem phishing med enhedskoder. Forskere advarer om, at den opdaterede kampagne gør det muligt for angribere at få adgang til konti uden direkte at stjæle adgangskoder, hvilket gør angrebene sværere at opdage og stoppe.
Tycoon2FA fik allerede tidligere opmærksomhed for at omgå multifaktorautentificering gennem avancerede adversary-in-the-middle-angreb. Sikkerhedseksperter siger nu, at operatørerne har opgraderet platformen efter nylige myndighedsaktioner mod infrastrukturen bag tjenesten.
Angribere misbruger Microsofts enhedsautentificering
Ifølge forskere udnytter de nyeste Tycoon2FA-kampagner Microsofts legitime OAuth-flow til enhedsautentificering. Angriberne narrer ofrene til at indtaste autentificeringskoder på Microsofts rigtige loginportal til enheder.
Når ofrene godkender anmodningen, modtager angriberne gyldige autentificeringstokens knyttet til den målrettede Microsoft 365-konto. Metoden gør det muligt for trusselsaktører at få adgang uden direkte at stjæle adgangskoder.
Forskerne siger, at angrebene ofte begynder med phishing-mails forklædt som voicemail-notifikationer eller fakturarelaterede beskeder. Ofrene klikker på links, som passerer gennem betroede tjenester, før de når frem til angriberkontrolleret infrastruktur.
Fordi brugerne interagerer med legitime Microsoft-sider under processen, virker angrebet langt mere troværdigt end traditionelle phishingkampagner.
MFA-beskyttelse bliver sværere at håndhæve
Sikkerhedsforskere advarer om, at phishing med enhedskoder skaber store udfordringer for traditionelle MFA-beskyttelser. I stedet for at opsnappe loginoplysninger gennem falske sessioner overtaler angriberne ofrene til selv at godkende den skadelige adgang.
Teknikken gør det muligt for angribere at omgå mange standard MFA-forsvar, samtidig med at de opretholder vedvarende adgang gennem OAuth-tokens.
Den opdaterede Tycoon2FA-platform retter sig ifølge rapporterne mod Microsoft Authentication Broker, som håndterer tokenadministration på tværs af Microsoft 365-tjenester. Vellykkede angreb kan give adgang til Outlook, Teams, OneDrive, SharePoint og andre virksomhedsressourcer.
Forskere advarer i stigende grad om, at token-tyveri er blevet mere værdifuldt for angribere end tyveri af adgangskoder, fordi gyldige tokens i nogle tilfælde kan bevare adgang selv efter nulstilling af adgangskoder.
Tycoon2FA vendte tilbage efter myndighedsaktion
Tidligere i år slog internationale myndigheder ned på Tycoon2FA-infrastrukturen gennem en koordineret operation mellem Europol og Microsoft. Myndighederne beslaglagde hundredvis af domæner forbundet til phishingplatformen.
Forskerne siger dog, at operatørerne hurtigt genopbyggede infrastrukturen og genoptog phishingkampagnerne inden for få uger.
De nyeste kampagner indeholder ifølge rapporter stærkere anti-analysebeskyttelse, opdaterede infrastrukturmønstre og forbedrede filtreringssystemer designet til at undgå opdagelse fra forskere og sikkerhedsværktøjer.
Forskerne har også observeret stigende misbrug af legitime cloudtjenester og betroede platforme under angrebene. Trusselsaktører skjuler i stigende grad phishingaktivitet i normal netværkstrafik for at gøre opdagelse vanskeligere.
Forskere advarer mod voksende OAuth-misbrug
Sikkerhedseksperter mener, at phishing-as-a-service-platforme udvikler sig hurtigt, efterhånden som cyberkriminelle tager mere avancerede teknikker til autentificeringsmisbrug i brug.
Forskerne anbefaler, at organisationer begrænser unødvendige OAuth-flows til enhedsautentificering, reducerer samtykketilladelser og styrker betingede adgangspolitikker, hvor det er muligt.
Organisationer opfordres også til nøje at overvåge usædvanlig aktivitet relateret til enhedsautentificering og forbedre procedurer for tilbagekaldelse af tokens. Sikkerhedsteams fokuserer i stigende grad på mistænkelig OAuth-adfærd, fordi angribere fortsætter med at bevæge sig væk fra traditionelt tyveri af adgangskoder.
Konklusion
Tycoon2FA-phishingangreb bliver stadig mere avancerede, efterhånden som cyberkriminelle anvender phishing med enhedskoder og misbrug af OAuth-tokens til at kompromittere Microsoft 365-konti.
Forskere advarer om, at kampagnerne viser, hvordan phishingoperationer fortsætter med at udvikle sig ud over traditionelt tyveri af loginoplysninger. Efterhånden som angribere i stigende grad retter sig mod autentificeringstokens og betroede loginflows, vil organisationer sandsynligvis møde stigende pres for at styrke identitetssikkerhed og overvågning af adgang.
0 svar til “Tycoon2FA-phishing kaprer Microsoft 365-konti”