Meresahkan! platform phising as a Service (PhaaS) Tycoon2FA terobos autentikasi Microsoft 365 dan Gmail menerima pembaruan dengan pemutakhiran teknologi.
PhaaS yang sanggup menjebol sistem dua faktor autentikasi ini kini semakin sakti mandraguna setelah di-update dengan peningkatan kemampuan siluman dan penghindaran.
Tycoon2FA ditemukan pada bulan Oktober 2023 oleh para peneliti yang kemudian melaporkan pembaruan signifikan pada perangkat phising yang meningkatkan kecanggihan dan efektivitasnya.
Perubahan Tycoon2FA
Informasi lainnya mengatakan telah dilaporkan bahwa pelaku ancaman Tycoon 2FA telah menambahkan beberapa peningkatan yang memperkuat kemampuan perangkat untuk menerobos deteksi dan perlindungan keamanan endpoint.
Perubahan pertama.
Yang disorot adalah penggunaan karakter Unicode yang tidak terlihat untuk menyembunyikan data biner dalam JavaScript. Taktik ini memungkinkan payload didekodekan dan dijalankan seperti biasa saat runtime sambil menghindari analisis pencocokan pola manual (manusia) dan statis.
Perubahan kedua
Adalah peralihan dari Cloudflare Turnstile ke CAPTCHA yang dihosting sendiri yang ditampilkan melalui kanvas HTML5 dengan elemen acak.
Kemungkinan, pembuat Tycoon 2FA memilih perubahan ini untuk menghindari sidik jari dan penandaan oleh sistem reputasi domain dan mendapatkan kontrol kustomisasi yang lebih baik atas konten halaman.
Perubahan ketiga
Penyertaan JavaScript anti-debugging yang mendeteksi alat otomatisasi browser seperti PhantomJS dan Burp Suite dan memblokir tindakan tertentu yang terkait dengan analisis.
Ketika aktivitas mencurigakan terdeteksi atau CAPTCHA gagal (indikasi potensial bot keamanan), pengguna disajikan halaman umpan atau diarahkan ke situs web yang sah seperti rakuten.com.
Peneliti menggarisbawahi bahwa meskipun teknik penghindaran ini tidak baru secara individual, teknik ini membuat perbedaan besar ketika digabungkan, mempersulit deteksi dan analisis yang dapat mengungkap infrastruktur phising dan menyebabkan penghapusan dan gangguan.
Peningkatan Serangan
Dalam laporan terpisah namun terkait, telah identifikasi peningkatan dramatis dalam serangan phising menggunakan file SVG (Scalable Vector Graphics) berbahaya, yang didorong oleh platform PhaaS seperti Tycoon2FA, Mamba2FA, dan Sneaky2FA.
Para peneliti melaporkan peningkatan tajam sebesar 1.800% dari April 2024 hingga Maret 2025, yang menunjukkan perubahan yang jelas dalam taktik yang mendukung format file tertentu.
SVG berbahaya yang digunakan dalam serangan phising adalah untuk gambar yang disamarkan sebagai pesan suara, logo, atau ikon dokumen awan. Namun, file SVG juga dapat berisi JavaScript, yang secara otomatis dipicu saat gambar ditampilkan di browser.
Kode ini dikaburkan menggunakan pengodean base64, ROT13, enkripsi XOR, dan kode sampah, sehingga deteksi menjadi kurang mungkin.
Fungsi kode berbahaya adalah untuk mengarahkan penerima pesan ke halaman phising Microsoft 365 yang mencuri kredensial akun mereka.
Studi kasus yang lain menyangkut peringatan pesan suara Microsoft Teams palsu dengan lampiran file SVG yang disamarkan sebagai pesan audio. Mengkliknya akan membuka browser eksternal yang menjalankan JavaScript, yang akan mengarahkan ke halaman login Office 365 palsu.
Munculnya platform PhaaS dan phising berbasis SVG menuntut kewaspadaan yang lebih tinggi dan perlunya verifikasi keaslian pengirim.
Langkah pertahanan yang efektif adalah memblokir atau menandai lampiran SVG di gateway email dan menggunakan metode MFA yang tahan phising.
Demikian informasi seputar Tycoon2FA terobos autentikasi Microsoft 365, semoga dari pemaparan ini dapat memberi manfaat bagi para pembacanya.
Baca lainnya:
- Memancing dengan Google Ads
- Sejarah Phising
- Situs Phising AnyDesk
- Phising Menggunakan Postingan Facebook
- Lampiran Email Aman Dibuka
- Tanda Peringatan Email Berbahaya
Sumber berita: