Kit phishing Tycoon2FA kini mendukung serangan phishing kode perangkat dan menyalahgunakan URL pelacakan klik Trustifi untuk membajak akun Microsoft 365.
Meskipun ada operasi penegakan hukum internasional mengganggu platform phishing Tycoon2FA pada bulan Maret, operasi jahat itu terjadi dibangun kembali pada infrastruktur baru dan dengan cepat kembali ke tingkat aktivitas reguler.
Awal bulan ini, Keamanan Abnormal dikonfirmasi bahwa Tycoon2FA telah kembali beroperasi normal dan bahkan menambahkan lapisan kebingungan baru untuk memperkuat ketahanannya terhadap upaya gangguan baru.
Pada akhir April, Tycoon2FA terlihat dalam kampanye yang memanfaatkan aliran hibah otorisasi perangkat OAuth 2.0 untuk menyusupi akun Microsoft 365, yang menunjukkan bahwa operator terus mengembangkan kit tersebut.
Phishing kode perangkat adalah jenis serangan di mana pelaku ancaman mengirimkan permintaan otorisasi perangkat ke penyedia layanan target dan meneruskan kode yang dihasilkan kepada korban, sehingga mengelabui mereka agar memasukkannya ke halaman login resmi layanan.
Tindakan ini memberi wewenang kepada penyerang untuk mendaftarkan perangkat jahat ke akun Microsoft 365 korban, sehingga memberi mereka akses tak terbatas ke data dan layanan korban, termasuk email, kalender, dan penyimpanan file cloud.
Push Security baru-baru ini memperingatkan bahwa jenis serangan ini telah terjadi meningkat 37x pada tahun inididukung oleh setidaknya sepuluh platform phishing-as-a-service (PhaaS) dan perangkat pribadi yang berbeda. Yang lebih baru laporan oleh Proofpoint mencatat lonjakan serupa dalam penggunaan taktik tersebut.
Tycoon2FA menambahkan phishing kode perangkat
Menurut penelitian baru dari perusahaan deteksi dan respons terkelola eSentire, Tycoon2FA mengonfirmasi bahwa phishing kode perangkat telah menjadi sangat populer di kalangan penjahat dunia maya.
“Serangan dimulai saat korban mengeklik URL pelacakan klik Trustifi di email umpan dan berpuncak pada korban tanpa sadar memberikan token OAuth ke perangkat yang dikendalikan penyerang melalui alur masuk perangkat Microsoft yang sah di microsoft.com/devicelogin,” jelas eSentire.
“Menghubungkan kedua titik akhir tersebut adalah rantai pengiriman dalam browser empat lapis yang keahlian Tycoon 2FA-nya hampir tidak berubah dari varian relai kredensial TRU yang didokumentasikan pada bulan April 2025 dan varian pasca-penghapusan yang didokumentasikan pada bulan April 2026.”
Trustifi adalah platform keamanan email sah yang menyediakan serangkaian alat yang terintegrasi ke dalam berbagai layanan email, termasuk dari Microsoft dan Google. Namun, eSentire tidak mengetahui bagaimana penyerang bisa menggunakan Trustifi.
Menurut para peneliti, serangan tersebut menggunakan email phishing bertema faktur yang berisi URL pelacakan Trustifi yang dialihkan melalui Trustifi, Cloudflare Workers, dan beberapa lapisan JavaScript yang dikaburkan, sehingga mengarahkan korban ke halaman Microsoft CAPTCHA palsu.
Halaman phishing mengambil kode perangkat Microsoft OAuth dari backend penyerang dan memerintahkan korban untuk menyalin dan menempelkannya ke ‘microsoft.com/devicelogin’, setelah itu korban menyelesaikan autentikasi multi-faktor (MFA) di pihak mereka.
Setelah langkah ini, Microsoft mengeluarkan akses OAuth dan token penyegaran ke perangkat yang dikendalikan penyerang.
Sumber: eSentire
Kit phishing Tycoon2FA mencakup perlindungan ekstensif terhadap peneliti dan pemindaian otomatis, mendeteksi Selenium, Puppeteer, Playwright, Burp Suite, memblokir vendor keamanan, VPN, sandbox, crawler AI, dan penyedia cloud, serta menggunakan jebakan waktu debugger.
Permintaan dari perangkat yang menunjukkan lingkungan analisis secara otomatis dialihkan ke halaman Microsoft yang sah, kata eSentire.
Para peneliti telah menemukan bahwa daftar blokir kit tersebut saat ini berisi 230 nama vendor dan terus diperbarui.
eSentire merekomendasikan untuk menonaktifkan aliran kode perangkat OAuth jika tidak diperlukan, membatasi izin persetujuan OAuth, memerlukan persetujuan admin untuk aplikasi pihak ketiga, mengaktifkan Evaluasi Akses Berkelanjutan (CAE), dan menerapkan kebijakan akses perangkat yang sesuai.
Selain itu, para peneliti merekomendasikan pemantauan log Entra untuk autentikasi DeviceCode, penggunaan Microsoft Authentication Broker, dan agen pengguna Node.js.
eSentire telah menerbitkan satu set indikator kompromi (IoCs) untuk serangan Tycoon2FA terbaru guna membantu pembela HAM melindungi lingkungan mereka.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
