O mercado do crime digital parece-se cada vez mais ao de uma startup: há produtos com assinatura, painéis de controle na nuvem, suporte e atualizações. Um dos exemplos mais preocupantes desta profissionalização criminal foi Tycoon 2FA, um kit de phishing oferecido como serviço que durante cerca de dois anos facilitou ataques massivos do tipo adversary-in-the-middle (AiTM), capazes de capturar credenciais e códigos de autenticação multifator e cookies de sessão que permitem a um atacante manter o acesso.
As autoridades e várias empresas de cibersegurança anunciaram uma operação coordenada para desmantelar a infraestrutura deste serviço. De acordo com a Europol, a acção foi abandonada com a eliminação em torno da Europol. 330 domínios que sustentavam as páginas de phishing e os painéis de controle do serviço, o que supõe um golpe importante à capacidade operacional da rede. A nota oficial pode ser lida no comunicado Europol.
Tycoon 2FA não nasceu como um kit qualquer. Era um produto comercial baseado em assinaturas, com planos de algumas centenas de dólares para acesso temporário a painéis de administração mensais onde os operadores podiam projetar e gerir campanhas completas. O painel oferecia modelos, arquivos de cebo, lógica de redireccionamento e métricas de vítimas; além disso, permitia baixar o capturado ou reenviar em tempo real para serviços de mensagens como Telegram. Essa oferta torna a criação de ataques sofisticados em algo acessível mesmo para atores com pouca habilidade técnica.
Os números que os investigadores lidam ilustram a magnitude do problema. Empresas de segurança como Proofpoint e Trend Micro documentaram volumes enormes de e-mails e campanhas atribuídas ao kit: milhões de mensagens em apenas um mês e dezenas de milhares de domínios ativos. A Microsoft, que rastreava os operadores sob o alias Storm-1747, indicou que bloqueou mais de 13 milhões de e-mails maliciosos relacionados a este serviço. O número de incidentes ligados e de organizações afectadas sublinha que não se tratou de ataques isolados, mas sim de uma operação a nível industrial.
O que fazia tão eficaz a Tycoon 2FA? Tecnicamente se apoiava no método AiTM: um intermediário entre a vítima e o serviço legítimo que interceptava informações no momento de autenticar-se. Deste modo, além da senha foram capturadas códigos MFA e cookies de sessão, o que permitia ao atacante tomar o controle de contas mesmo quando a vítima mudava sua senha - a não ser que as sessões e os tokens fossem explicitamente revogadas. A Microsoft explica com mais detalhe o funcionamento desta técnica em sua análise: Inside Tycoon2FA.
Mas não era apenas a técnica AiTM: o kit incorporava múltiplos mecanismos de evasão para dificultar a detecção e a takedown. A partir da monitoração de pulsações, filtros anti-bots e impressões do navegador até CAPTCHAs auto-hospedados, código JavaScript ofuscado e páginas señuelo dinâmicas. Somado a isso, os operadores registravam domínios de vida extremamente curto e empregavam uma mistura ampla de extensões de domínio para alojar a infraestrutura, aproveitando serviços como Cloudflare para proteger essas direções. Essa estratégia de rotação rápida fazia com que as listas de bloqueio fiquem desatualizadas em poucas horas.
Outro traço inquietante foi a facilidade com que os atacantes escalaram seu impacto: Tycoon 2FA permitia a técnica conhecida como ATO Jumping, que consiste em usar uma conta já comprometida para enviar links de phishing para o livro de endereços legítimo da vítima. O resultado é que o correio parece vir de um contato de confiança e a possibilidade de enganar um receptor cresce de forma significativa. Proofpoint desgrana como esta tática multiplica o alcance das campanhas em seu material sobre a operação: Disruption targets Tycoon 2FA.
O fenômeno dos kits de phishing embalados não é novo, mas Tycoon 2FA demonstrou até que ponto essa oferta pode profissionalizar-se e se tornar uma plataforma lucrativa para a fraude. Artigos que analisam o mercado de phishing kits explicam que estes pacotes são projetados para serem flexíveis e acessíveis, com funcionalidades que vão desde o básico até ferramentas avançadas que antes só estavam ao alcance de grupos sofisticados. Um bom contexto técnico e de mercado está disponível em análise como o de Kaspersky Securelist e em relatórios especializados de empresas de inteligência como Intel 471.
As consequências para organizações e usuários são diretas e potencialmente devastadoras: acessos de e-mail corporativo que derivam em vazamentos, implantação de ransomware ou compromissos de serviços críticos em educação, saúde ou administrações públicas. Pesquisadores de Proofpoint compartilharam dados alarmantes sobre a prevalência de tentativas de tomada de contas e o fato de que muitos incidentes afetaram contas com MFA ativado, o que evidencia que não basta marcar a caixa de duplo fator se o vetor de ataque é projetado para interceptar.
A operação de eliminação de domínios e painéis é uma vitória importante, mas não significa que o problema tenha desaparecido. Estas plataformas geralmente reaparecem sob outras marcas, com melhorias e táticas adaptadas aos bloqueios anteriores. Por isso, as medidas de proteção devem ser tanto técnicas como organizacionais: além de controles de e-mail e detecção avançada, é crucial rever a forma como as sessões são geridas e os tokens, aplicar a revogação de acessos quando há suspeita de compromisso e favorecer fatores de autenticação resistentes a AiTM, como as chaves físicas baseadas em padrões FIDO quando possível.
Para usuários e responsáveis pela segurança a lição é dupla: a consciência sobre os ataques, especialmente quando parecem proceder de contatos conhecidos, continua sendo uma defesa essencial, e a arquitetura de identidade deve contemplar cenários realistas de interceptação. Recursos e análises adicionais sobre a desarticulação do serviço e as ameaças AiTM estão disponíveis nos relatórios técnicos citados por organizações como Trustwave, Trend Micro e Proofpoint.
Em suma, o golpe de Tycoon 2FA demonstra que a cooperação entre setor público e privado pode conter plataformas criminosas de grande alcance, mas também lembra que o adversário evolui rapidamente. Manter-se informado, rever políticas de sessões e autenticação e aplicar soluções de proteção avançadas são passos imprescindíveis para não converter uma conta comprometida na porta de entrada para um desastre maior.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...