Uma operação internacional coordenada pela Europol desmantelou o Tycoon2FA, uma importante plataforma de phishing-as-a-service (PhaaS) responsável pelo envio de dezenas de milhões de mensagens de phishing a cada mês.
No total, foram apreendidos e desativados 330 domínios que compunham a infraestrutura central do serviço criminoso, incluindo painéis de controle e páginas de phishing.
A ação conjunta contou com o apoio da Microsoft, Trend Micro, Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation e SpyCloud.
“A interrupção técnica foi conduzida pela Microsoft, com suporte de uma coalizão de parceiros privados, enquanto a apreensão da infraestrutura e outras medidas operacionais ficaram a cargo das forças de segurança da Letônia, Lituânia, Portugal, Polônia, Espanha e Reino Unido — tudo isso coordenado pela Europol”, afirmou a instituição na quarta-feira.
A investigação teve início após o compartilhamento de inteligência pela Trend Micro.
A Europol divulgou essas informações por meio de seus grupos consultivos do EC3 e redes operacionais, possibilitando o desenvolvimento de uma estratégia operacional coordenada.
O Tycoon2FA, ativo desde pelo menos agosto de 2023, era usado por cibercriminosos para burlar sistemas de autenticação multifator (MFA) e comprometer contas de cerca de 100 mil organizações ao redor do mundo, incluindo órgãos governamentais, escolas e instituições de saúde.
Segundo a Microsoft, em meados de 2025, o Tycoon2FA enviava dezenas de milhões de e-mails de phishing mensalmente, representando mais de 60% de todas as tentativas de phishing bloqueadas.
A plataforma operava como um adversary-in-the-middle, utilizando servidores proxy reversos para interceptar credenciais de login e cookies de sessão em tempo real, em ataques que miravam especialmente clientes da Microsoft e do Google.
Isso permitia aos atacantes sequestrar sessões autenticadas e contornar as proteções de MFA, ainda que, para as vítimas, o processo de login parecesse ter ocorrido normalmente.
“O Tycoon2FA possibilitava que atores maliciosos se passassem por marcas confiáveis ao reproduzir páginas de login de serviços como Microsoft 365, OneDrive, Outlook, SharePoint e Gmail.
Também permitia que os criminosos mantivessem acesso persistente a informações sensíveis mesmo após a alteração de senhas, a menos que as sessões ativas e tokens fossem explicitamente revogados”, explicou a Microsoft.
O mecanismo funcionava interceptando os cookies das sessões gerados durante a autenticação e capturando simultaneamente as credenciais dos usuários.
Os códigos de MFA eram então retransmitidos pelos servidores proxy do Tycoon2FA para o serviço legítimo.
Vendida por meio do Telegram por 120 dólares a cada 10 dias de acesso, a plataforma facilitava que criminosos com baixo conhecimento lançassem ataques sofisticados que burlavam MFA em larga escala.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...