O kit de phishing Tycoon2FA agora oferece suporte a ataques de phishing por código de dispositivo e explora URLs de rastreamento de cliques da Trustifi para sequestrar contas do Microsoft 365.
Apesar de uma operação internacional de aplicação da lei ter interrompido a plataforma de phishing Tycoon2FA em março, a operação maliciosa foi reconstruída em uma nova infraestrutura e rapidamente voltou aos níveis normais de atividade.
No início deste mês, a Abnormal Security confirmou que o Tycoon2FA havia retomado as operações normais e ainda adicionou novas camadas de ofuscação para aumentar sua resiliência contra novas tentativas de interrupção.
No fim de abril, o Tycoon2FA foi observado em uma campanha que explorou os fluxos de concessão de autorização de dispositivo do OAuth 2.0 para comprometer contas do Microsoft 365, sinalizando que o operador continua a evoluir o kit.
Phishing por código de dispositivo é um tipo de ataque em que threat actors enviam uma solicitação de autorização de dispositivo ao provedor do serviço-alvo e repassam o código gerado à vítima, induzindo-a a inseri-lo na página legítima de login do serviço.
Com isso, o atacante autoriza o registro de um dispositivo fraudulento na conta Microsoft 365 da vítima, obtendo acesso irrestrito aos dados e serviços do usuário, incluindo e-mail, calendário e armazenamento de arquivos em nuvem.
A Push Security alertou recentemente que esse tipo de ataque cresceu 37 vezes neste ano, impulsionado por pelo menos dez plataformas distintas de phishing-as-a-service (PhaaS) e kits privados.
Um relatório mais recente da Proofpoint aponta um aumento semelhante no uso da técnica.
Segundo uma nova pesquisa da empresa de detecção e resposta gerenciada eSentire, o Tycoon2FA confirma que o phishing por código de dispositivo se tornou muito popular entre cibercriminosos.
“O ataque começa quando a vítima clica em uma URL de rastreamento de cliques da Trustifi em um e-mail de isca e culmina com a vítima, sem saber, concedendo tokens OAuth a um dispositivo controlado pelo atacante por meio do fluxo legítimo de login por dispositivo da Microsoft em microsoft.com/devicelogin”, explica a eSentire.
“Conectando esses dois pontos finais está uma cadeia de entrega em quatro camadas no navegador, cujo modus operandi do Tycoon2FA permanece praticamente inalterado em relação à variante de credential relay documentada pela TRU em abril de 2025 e à variante pós-interrupção documentada em abril de 2026.”
A Trustifi é uma plataforma legítima de segurança para e-mail que oferece uma série de ferramentas integradas a diversos serviços de e-mail, incluindo os da Microsoft e do Google.
No entanto, a eSentire não sabe como os atacantes passaram a usar a Trustifi.
Segundo os pesquisadores, o ataque usa um e-mail de phishing com tema de fatura, contendo uma URL de rastreamento da Trustifi que redireciona por meio da Trustifi, do Cloudflare Workers e de várias camadas ofuscadas de JavaScript, levando a vítima a uma página falsa de CAPTCHA da Microsoft.
A página de phishing obtém um código de dispositivo OAuth da Microsoft no back-end do atacante e instrui a vítima a copiá-lo e colá-lo em microsoft.com/devicelogin, após o que a vítima conclui a MFA do lado dela.
Depois dessa etapa, a Microsoft emite tokens de acesso e atualização OAuth para o dispositivo controlado pelo atacante.
O kit de phishing Tycoon2FA inclui ampla proteção contra pesquisadores e varredura automatizada, detectando Selenium, Puppeteer, Playwright e Burp Suite, bloqueando fornecedores de segurança, VPNs, sandboxes, rastreadores de IA e provedores de cloud, além de usar armadilhas de tempo para depuração.
Pedidos vindos de dispositivos que indiquem um ambiente de análise são redirecionados automaticamente para uma página legítima da Microsoft, informou a eSentire.
Os pesquisadores constataram que a lista de bloqueio do kit atualmente contém 230 nomes de fornecedores e é atualizada continuamente.
A eSentire recomenda desativar o fluxo de código de dispositivo do OAuth quando ele não for necessário, restringir permissões de consentimento do OAuth, exigir aprovação de administrador para aplicativos de terceiros, habilitar a Avaliação Contínua de Acesso (CAE) e aplicar políticas de acesso para dispositivos em conformidade.
Além disso, os pesquisadores recomendam monitorar logs do Entra em busca de autenticação por deviceCode, uso do Microsoft Authentication Broker e user agents do Node.js.
A eSentire publicou um conjunto de indicadores de comprometimento (IoCs) relacionados aos ataques mais recentes do Tycoon2FA.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...