Stampa

Tycoon 2FA Smantellato: Europol abbatte il phishing che aggira l’MFA e conquista account globali

Una operazione coordinata guidata da Europol ha portato allo smantellamento di Tycoon 2FA, un servizio di phishing as a service tra i più usati per aggirare la protezione MFA e rubare credenziali su larga scala. Questo kit, attivo dal 2023, permetteva ai criminali di eseguire attacchi adversary in the middle intercettando in tempo reale accessi e sessioni, con l’obiettivo di ottenere non solo username e password, ma anche codici MFA e cookie di sessione. Il risultato era un account takeover efficace anche dopo il reset della password, se l’organizzazione non revocava esplicitamente token e sessioni attive.

Tycoon 2FA funzionava come un vero prodotto in abbonamento, con prezzi differenziati e un pannello web di amministrazione. Dal pannello gli operatori potevano configurare campagne di phishing, scegliere template già pronti, gestire allegati usati come esche, impostare domini e hosting, definire logiche di reindirizzamento e monitorare le vittime. I dati rubati potevano essere scaricati direttamente o inoltrati su canali di messaggistica per un controllo quasi in tempo reale delle credenziali valide e dei tentativi falliti.

Secondo le informazioni diffuse dalle autorità e da più partner del settore sicurezza, la piattaforma era collegata a decine di migliaia di incidenti e generava decine di milioni di email di phishing ogni mese, colpendo quasi 100000 organizzazioni nel mondo, inclusi scuole, ospedali e istituzioni pubbliche. Nell’operazione sono stati rimossi 330 domini che costituivano l’infrastruttura principale, comprese pagine di phishing e pannelli di controllo.

Le campagne imitavano brand e servizi molto diffusi come Microsoft 365, OneDrive, Outlook, SharePoint e Gmail, riproducendo flussi di autenticazione credibili per aumentare la probabilità di successo. Per evitare i controlli, Tycoon 2FA usava tecniche di evasione avanzate come:

  • anti-bot
  • fingerprinting del browser
  • offuscamento del codice
  • CAPTCHA auto-ospitati
  • JavaScript personalizzato
  • pagine esca dinamiche

Un elemento chiave era anche il rapido ricambio di domini e FQDN con vita breve, spesso 24 o 72 ore, per rendere inefficaci le blocklist.

Un altro metodo associato era l’ATO Jumping, cioè l’uso di account email già compromessi per inviare nuovi link di phishing a contatti fidati, aumentando la credibilità dei messaggi e accelerando la catena di compromissione che può portare a furto dati e ransomware.

, , , , , ,