Un kit di phishing avanzato sfrutta un proxy inverso per aggirare l’autenticazione multi-fattore, minacciando account aziendali e infrastrutture cloud.
Autore: Redazione SecurityOpenLab
Parliamo sempre più spesso della grande flessibilità, rapidità e ingegnosità degli attaccanti nell’evolvere i metodi di attacco per bypassare le difese cyber, man mano che queste aumentano la propria efficienza. Un chiaro esempio di quello che si intende è Tycoon 2FA, un kit di phishing scoperto e monitorato dai ricercatori di Barracuda Networks, che è stato progettato per aggirare le misure di autenticazione a due fattori (da qui il nome della minaccia) e compromettere account protetti.
Il kit in questione è particolarmente temibile perché consente agli attaccanti di ottenere l’accesso non autorizzato agli account sensibili, soprattutto in relazione a soluzioni per l’autenticazione a più fattori che fanno uso di codici temporanei inviati via SMS o generati da app quali Google o Microsoft Authenticator. Il rischio non riguarda solo l’email: se pensiamo a Microsoft 365, pare subito chiaro che un attacco aprirebbe le porte alla piattaforma cloud aziendale, agli strumenti di collaborazione, eccetera.
Ultimo ma non meno importante, Tycoon 2FA è una potenziale minaccia anche per l’utente privato che, seguendo le istruzioni per la cybersecurity, ha attivato l’autenticazione a due fattori per proteggere i propri account personali, come per esempio quelli bancari.
Questo sofisticato kit di phishing è stato scoperto ad agosto 2023 e ha rapidamente guadagnato notorietà fra i cyber criminali per la sua capacità di bypassare 2FA mediante la raccolta e l'abuso di cookie di sessione di Microsoft 365. L’ultimo aggiornamento è stato divulgato a novembre 2024 e include tattiche avanzate, orchestrate per ostacolare e vanificare l’attività degli strumenti di cybersecurity.
Al di là dell’autenticazione a più fattori, Tycoon 2FA porta con sé una serie di caratteristiche dall’elevato potenziale dannoso. Prima di tutto, gli attacchi vengono avviati da account email legittimi compromessi. Chi controlla il mittente per verificare l’attendibilità della email potrebbe cadere facilmente in inganno. Le email di phishing contengono link che collegano a pagine di login false, progettate per imitare i siti web legittimi di servizi popolari come Microsoft 365, Google Workspace e altre piattaforme cloud.
Una delle caratteristiche più interessanti di questo kit è l’uso di un proxy inverso, che permette di monitorare il traffico web e di reindirizzarlo a siti di accesso illegittimi, così che gli attaccanti possano intercettare le credenziali dell’utente, i cookie di sessione validi e intromettersi efficacemente nel processo di autenticazione multi-fattore. Da notare che l’uso del proxy inverso non è inedito, perché si è già visto in passato con strumenti come Modlishka, Necrobrowser ed Evilginx che hanno permesso di aggirare le protezioni MFA sin dal 2018.
Non finisce qui: la ricca cassetta degli attrezzi include diverse tecniche per ostacolare l'analisi delle pagine web, fra cui tecniche di blocco degli script automatizzati o comunemente utilizzati dalle soluzioni di sicurezza per determinare se il codice è malevolo; soluzioni per la neutralizzazione di strumenti di pentest (se viene rilevato l'uso di tali strumenti l'utente viene reindirizzato a una pagina vuota, impedendo ulteriori analisi). Il kit permette poi di rilevare e bloccare combinazioni di tasti o scorciatoie da tastiera comunemente utilizzate dagli esperti di security per ispezionare una pagina web, oltre che bloccare il menu contestuale (tasto destro del mouse) per impedire di ispezionare o salvare elementi della pagina.
Non ultimo, il codice sorgente delle pagine è stato modificato per caricare risorse JavaScript, fogli di stile, font e meta tag in modo tale da ostacolare l'analisi automatizzata. Inoltre, nel codice è omessa la tipica sequenza di chiamate a risorse esterne. Non mancano tecniche di offuscamento del codice.