Platform phishing-as-a-service (PHAAS) TyCoon2FA, yang dikenal karena melewati otentikasi multi-faktor pada akun Microsoft 365 dan Gmail, telah menerima pembaruan yang meningkatkan kemampuan siluman dan penghindarannya.
Tycoon2fa ditemukan pada Oktober 2023 oleh peneliti Sekoia, yang kemudian melaporkan pembaruan yang signifikan pada kit phishing yang meningkatkan kecanggihan dan keefektifannya.
Trustwave sekarang melaporkan Bahwa aktor ancaman taipan 2FA telah menambahkan beberapa perbaikan yang meningkatkan kemampuan kit untuk memotong deteksi dan perlindungan keamanan titik akhir.
Perubahan yang disorot pertama adalah Penggunaan karakter unicode yang tidak terlihat Untuk menyembunyikan data biner dalam JavaScript, seperti yang pertama kali dilaporkan oleh Juniper Ancaman Labs pada bulan Februari. Taktik ini memungkinkan muatan untuk diterjemahkan dan dieksekusi seperti biasa saat runtime sambil menghindari manual (manusia) dan analisis pencocokan pola statis.
Sumber: Trustwave
Pengembangan kedua adalah saklar dari CloudFlare Turnstile ke captcha yang disajikan sendiri yang diberikan melalui kanvas HTML5 dengan elemen acak.
Kemungkinan, pencipta taipan 2FA memilih perubahan ini untuk menghindari sidik jari dan ditandai oleh sistem reputasi domain dan mendapatkan kontrol kustomisasi yang lebih baik atas konten halaman.
Perubahan besar ketiga adalah dimasukkannya javascript anti-debugging yang mendeteksi alat otomatisasi browser seperti phantomjs dan bersendawa dan memblokir tindakan tertentu yang terkait dengan analisis.
Ketika aktivitas yang mencurigakan terdeteksi atau captcha gagal (indikasi potensial bot keamanan), pengguna dilayani halaman umpan atau diarahkan ke situs web yang sah seperti rakuten.com.
Sumber: Trustwave
Trustwave menggarisbawahi bahwa sementara teknik penghindaran ini tidak baru secara individual, mereka membuat perbedaan besar ketika digabungkan, deteksi dan analisis yang rumit yang dapat mengungkap infrastruktur phishing dan menyebabkan pencopotan dan gangguan.
Memikat SVG melonjak
Dalam laporan terpisah tetapi terkait, Trustwave mengatakan telah mengidentifikasi a peningkatan dramatis dalam serangan phishing menggunakan File SVG (grafik vektor yang dapat diskalakan) berbahayaDidorong oleh platform Phaas seperti Tycoon2fa, Mamba2fa, dan Sneaky2FA.
Perusahaan cybersecurity melaporkan kenaikan tajam 1.800% dari April 2024 hingga Maret 2025, menunjukkan pergeseran taktik yang jelas mendukung format file tertentu.
Sumber: Trustwave
SVG berbahaya yang digunakan dalam serangan phishing adalah untuk gambar yang disamarkan sebagai pesan suara, logo, atau ikon dokumen cloud. Namun, file SVG juga dapat berisi JavaScript, yang secara otomatis dipicu ketika gambar diberikan di browser.
Kode ini dikaburkan menggunakan encoding base64, rot13, enkripsi XOR, dan kode sampah, sehingga deteksi lebih kecil kemungkinannya.
Fungsi kode jahat adalah untuk mengarahkan kembali penerima pesan ke halaman phishing Microsoft 365 yang mencuri kredensial akun mereka.
Sebuah studi kasus yang disajikan dalam laporan TrustWave menyangkut peringatan voicemail tim Microsoft palsu dengan lampiran file SVG yang disamarkan sebagai pesan audio. Mengkliknya membuka browser eksternal yang mengeksekusi JavaScript, mengarahkan ulang ke halaman login Office 365 palsu.
Sumber: Trustwave
Munculnya platform PHAAS dan seruan phishing berbasis SVG untuk kewaspadaan yang meningkat dan kebutuhan untuk verifikasi keaslian pengirim.
Ukuran pertahanan yang efektif adalah memblokir atau menandai lampiran SVG dalam gateway email dan menggunakan metode MFA yang tahan phishing seperti perangkat FIDO-2.
