Phishing avança: Tycoon2FA usa novos truques para invadir Microsoft 365

O kit de phishing como serviço (PhaaS) Tycoon2FA, conhecido por contornar autenticação multifator em contas do Microsoft 365 e Gmail, recebeu atualizações importantes que o tornaram ainda mais eficaz e difícil de detectar.

Inicialmente identificado em outubro de 2023 por pesquisadores da Sekoia, o Tycoon2FA ganhou notoriedade por sua abordagem avançada. Agora, segundo novos relatórios da Trustwave, o kit foi atualizado com técnicas que aprimoram sua capacidade de evasão e furtividade, elevando o nível de ameaça.

Uma das atualizações mais notáveis é o uso de caracteres Unicode invisíveis para esconder cargas maliciosas em scripts JavaScript. Essa técnica permite que o código seja interpretado corretamente no momento da execução, enquanto dificulta a análise manual e automatizada de padrões maliciosos.

Outra mudança significativa foi a substituição do CAPTCHA do Cloudflare Turnstile por um CAPTCHA auto-hospedado, renderizado com HTML5 canvas e elementos aleatórios. Isso oferece maior controle sobre a aparência da página e ajuda a evitar sistemas de reputação que possam sinalizar o domínio como suspeito.

Por fim, os operadores do Tycoon2FA adicionaram scripts antidepuração em JavaScript capazes de detectar ferramentas de análise automatizada, como PhantomJS e Burp Suite. Esses scripts bloqueiam ações suspeitas, protegendo o kit contra tentativas de investigação por especialistas em segurança.

Essas atualizações mostram um avanço preocupante na sofisticação dos kits de phishing comerciais, evidenciando a necessidade de reforço nas estratégias de defesa cibernética.

Fonte: https://www.bleepingcomputer.com/news/security/tycoon2fa-phishing-kit-targets-microsoft-365-with-new-tricks/