Die Erholung und Evolution von Tycoon2FA - ein Phishing-Kit spezialisiert auf die Vermeidung von Authentifizierung - bestätigt einen gefährlichen Trend: kriminelle Operationen nicht nur polizeilichen Handlungen widerstehen, sondern Techniken wiederverwenden und verfeinern, um legitime Authentifizierungsströme auszunutzen. Die jüngste Forschung zeigt, dass ihre Betreiber Unterstützung für den sogenannten "Gerätecode"-Angriff hinzugefügt haben und dass sie von legitimen Follow-up-Links, wie z.B. Trust, profitieren, um die Opfer in Lieferketten im Browser umzuleiten, die von den Angreifern in Microsoft 365-Konten kontrollierte Autorisierungsgeräte enden.
Der Vektor ist einfach im Aussehen, aber effektiv in der Praxis: Das Opfer erhält eine E-Mail mit einem Follow-up-Link, der durch legitime Dienste und mehrere Schichten von opuscado JavaScript durchläuft; wenn Sie die betrügerische Seite erreichen, werden Sie aufgefordert, einen Gerätecode zu kopieren und in microsoft.com / devilutin, den realen Microsoft-Bildschirm einfügen. Wenn das Opfer den Fluss abschließt, sendet Microsoft Tokens OAuth aus, dass der Angreifer verwenden kann, um auf Post-, Kalender- und Cloud-Speicher zugreifen, ohne dass traditionelle Anmeldeinformationen stehlen oder die MFA lokal brechen müssen. Für einen Angreifer bedeutet dies einen anhaltenden und schwierigen Zugang zu erkennen.
Diese Methode hat sich in den letzten Monaten erhöht: Sicherheitsfirmen haben eine exponentielle Zunahme der Phishing-Kampagnen im Gerätecode und eine Verbreitung von PhaaS-Kits und -Diensten (Physing- as- a- Service) gemeldet, die die Kampagne automatisieren und die technische Barriere für weniger spezialisierte Akteure reduzieren. Eine Analyse des Anstiegs dieser Technik findet sich im Bericht von Proofpoint über die Entwicklung des Vize-Code-Phishings. Hier., während die Nachaufnahme Rekonstruktion und Härtung von Tycoon2FA von Abnormal Security dokumentiert wurde in diesem Bericht.
Ein relevantes Merkmal des Kits ist seine Fähigkeit, vor Forschern und automatisierten Werkzeugen zu tarnen: es erfasst Analyseumgebungen wie Selenium, Playwright oder Burpsuite, Blöcke Bereiche, die mit Cloud-Lieferanten und Sicherheitsdienstleistungen verbunden sind, und leitet alle verdächtigen Verkehr auf legitime Seiten, um die Untersuchung schwierig zu machen. Diese Evasionskapazität erhöht die Kosten und Komplexität der Erkennung und erklärt, warum die Betreiber nach polizeilichen Unterbrechungsmaßnahmen wieder in die Tätigkeit zurückkehren.
Für Sicherheitsteams und Identitätsmanager sind die Auswirkungen klar: Kontrollen, die ausschließlich auf den Schutz von Anmeldeinformationen ausgerichtet sind, reichen nicht mehr aus. Es ist wichtig, die OAuth-Einwilligungsrichtlinien zu überprüfen und zu verschärfen, die Nutzung des Geräteflusses zu begrenzen, wenn es nicht notwendig ist und administrative Überprüfungen für Drittanwender erforderlich sind. Microsoft bietet Fähigkeiten wie Continuous Access Evaluation (CAE) und bedingte Zugriffsrichtlinien, die helfen, diese Art von Missbrauch zu mildern; seine Annahme sollte in Unternehmensumgebungen beschleunigt werden.
Parallel zu Konfigurationsänderungen gibt es konkrete betriebliche Maßnahmen: Überwachung der Eingabe-ID (vor Azure AD) Protokolle zur Authentifizierung über Geräte _ Code, Verfolgung der Verwendung des "Microsoft Authentication Broker" und ungewöhnliche Signale wie Node.js' User-Agents, und Audit registrierte Geräte und Applikationszugriffe. Wenn verdächtige Aktivität erkannt wird, ist es angebracht, Token und Sitzungen zu widerrufen, nicht erkannte Geräte zu entfernen und ein Rekonsent von Anwendungen mit weniger Privileg zu zwingen.
Die Wiederverwendung von legitimen Dienstleistungen (z.B. Postsicherheitsplattform-Tracking-Links) als Umleitungsvektoren stellt eine weitere Herausforderung dar: Die Anbieter solcher Tools können ohne ihr Wissen oder durch engagierte Kunden enden. Wenn Ihre Organisation schädliche Verwendung eines Tracking- oder Lieferanbieters erkennt, kontaktieren Sie den Lieferanten sofort und teilen Sie Beweise; Koordination zwischen Opfern, Lieferanten und Antwortgeräten beschleunigt die Minderung und mögliche Entfernung von schädlichen Inhalten.
Für Endbenutzer geht die Vorbeugung durch Bildung und Prudence: Unerwartete E-Mails, die um Codes zu kopieren und auf einer anderen Seite einzufügen, bestätigen die Richtigkeit der Rechnungen oder Mitteilungen durch Kontakt mit dem Emittenten über unabhängige Kanäle, und priorisieren die Verwendung von FIDO2-Schlüsseln oder MFA-Methoden, die nicht davon abhängen, Codes zu kopieren / zu treffen, wenn möglich. Obwohl MFA entscheidend bleibt, zeigt diese Art von Angriff, dass nicht alle zweiten Faktorfaktoren den gleichen Schutz gegen schädliche OAuth-Einwilligungssysteme bieten.
Die Teams, die IOC und technische Referenzen für Erkennung und Antwort benötigen, können die von den Forschern veröffentlichten Ressourcen konsultieren; eSentire, die die Tycoon2FA-Kette und ihre neuen Schichten von Evasion untersucht, veröffentlichte Details und technische Empfehlungen in ihrer Analyse hier verfügbar und es gibt Listen von Indikatoren in öffentlichen Repositorien veröffentlicht, die die Integration in Erkennungstools und automatische Blockaden erleichtern. Die Annahme dieser Signale, die Anpassung der Zustimmungspolitik und die Stärkung der Identitätstelemetrie sind dringende Schritte, um die Auswirkungen dieser Kampagnen zu reduzieren.
Letztlich ist die Lehre, dass der Krieg gegen moderne Phishing eine Kombination aus technischer Verbesserung, Identitäts-Governance und sektoraler Zusammenarbeit erfordert: ohne strengere Kontrollen über OAuth und ohne eine koordinierte Reaktion zwischen Lieferanten und Organisationen werden Kits wie Tycoon2FA weiterhin Wege finden, legitime Infrastruktur für Betrug zu recyceln.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...