Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Tycoon 2FA: la nuova minaccia PhaaS che aggira la doppia autenticazione

Sandro Sana : 27 Marzo 2024 07:08

Tycoon 2FA è una piattaforma di phishing as a service (PhaaS) che permette ai cybercriminali di lanciare attacchi mirati agli account Microsoft 365 e Gmail, sfruttando una tecnica sofisticata per eludere la protezione della doppia autenticazione (2FA).

Si tratta di una minaccia emergente, che è stata scoperta per la prima volta dagli analisti di Sekoia nell’ottobre del 2023, ma che è attiva almeno dall’agosto dello stesso anno. La piattaforma è offerta dai criminali informatici noti come Saad Tycoon, che la pubblicizzano attraverso canali privati su Telegram. Tycoon 2FA non è l’unica piattaforma di PhaaS esistente, ma presenta delle caratteristiche distintive che la rendono particolarmente pericolosa e difficile da rilevare.

Le somiglianze e le differenze con altre piattaforme di PhaaS

Le piattaforme di PhaaS sono dei servizi che consentono ai malintenzionati di creare e distribuire campagne di phishing personalizzate, senza dover disporre di competenze tecniche elevate o di infrastrutture complesse. Alcune delle piattaforme di PhaaS più note sono AitM, Dadsec OTT e L0gin, che offrono ai loro clienti la possibilità di scegliere tra diversi template di phishing, configurare i parametri di attacco e monitorare i risultati.

Allegati e-mail che reindirizzano gli utenti alle pagine di phishing 2FA del magnate, distribuiti nell’ottobre 2023 (Fonte Sekoia)

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Tycoon 2FA presenta delle somiglianze con queste piattaforme, come ad esempio l’utilizzo di un pannello di controllo per gestire le campagne, la possibilità di scegliere tra diversi domini e la presenza di un sistema di pagamento basato su criptovalute. Tuttavia, Tycoon 2FA si differenzia dalle altre piattaforme di PhaaS per il suo focus specifico sugli account Microsoft 365 e Gmail e per la sua capacità di aggirare i meccanismi di doppia autenticazione, che sono considerati uno dei principali strumenti di difesa contro il phishing.

Come Tycoon 2FA riesce a eludere la doppia autenticazione

La doppia autenticazione, o 2FA, è un metodo di sicurezza che richiede all’utente di fornire due fattori di verifica per accedere a un servizio online, come ad esempio una password e un codice inviato via SMS o tramite un’applicazione. Questo metodo rende più difficile per gli attaccanti di phishing di rubare le credenziali degli utenti, in quanto non basta intercettare la password, ma bisogna anche ottenere il secondo fattore.

Tycoon 2FA, però, è in grado di eludere questo ostacolo, utilizzando una tecnica chiamata server proxy inverso con una pagina di phishing. Questa tecnica consiste nel creare una pagina di phishing che replica fedelmente l’aspetto del servizio legittimo, ma che in realtà funge da intermediario tra l’utente e il servizio stesso. In questo modo, quando l’utente inserisce le sue credenziali nella pagina di phishing, queste vengono inviate al servizio legittimo, che a sua volta richiede il secondo fattore di autenticazione.

Figura 2. Pagina di accesso del pannello di amministrazione di Tycoon 2FA e del sito web di Tycoon 2FA (tycoongroup[.]ws), a ottobre 2023 (Fonte Sekoia)

La pagina di phishing, però, intercetta anche il secondo fattore, che viene inserito dall’utente e trasmesso al servizio legittimo. In questo modo, l’attaccante riesce a ottenere un’autenticazione riuscita e a rubare i cookie di sessione, che gli consentono di riutilizzare la sessione dell’utente e accedere al suo account, aggirando i meccanismi di 2FA.

Le raccomandazioni degli esperti per difendersi da Tycoon 2FA

Tycoon 2FA è una minaccia in continua evoluzione, che ha già rilasciato una nuova versione più avanzata nel 2024, utilizzando attualmente oltre 1100 domini collegati a migliaia di attacchi di phishing. Gli esperti di Sekoia hanno pubblicato un rapporto dettagliato sulla piattaforma, fornendo ulteriori approfondimenti sulle sue funzionalità e sulle sue tattiche. Per difendersi da Tycoon 2FA, gli esperti raccomandano di adottare alcune misure di sicurezza, come ad esempio:

  • Verificare sempre l’URL della pagina di accesso, controllando che corrisponda a quello del servizio legittimo e che sia protetto da HTTPS.
  • Non fidarsi di email che richiedono di accedere a un servizio online, ma accedere sempre tramite il browser o l’applicazione ufficiale.
  • Utilizzare un gestore di password per creare e memorizzare password sicure e uniche per ogni servizio online.
  • Utilizzare un’autenticazione a più fattori basata su applicazioni dedicate, come Google Authenticator o Microsoft Authenticator, anziché su SMS o email, che sono più vulnerabili agli attacchi di phishing.
  • Utilizzare una soluzione di sicurezza informatica che sia in grado di rilevare e bloccare le pagine di phishing, come ad esempio Sekoia Endpoint Detection and Response.

Queste sono alcune buone pratiche per proteggersi dal phishing, ma non sono sufficienti a evitare del tutto il rischio. Il phishing è una tecnica di ingegneria sociale che sfrutta la psicologia e le emozioni degli utenti per indurli a cliccare su link o allegati infetti, o a fornire informazioni sensibili. Per contrastare questo tipo di attacco, è necessario avere una buona cultura della sicurezza informatica, che si basa sulla formazione, sulla consapevolezza e sul senso critico. Le aziende dovrebbero investire nella security awareness dei propri dipendenti, insegnando loro a riconoscere i segnali di un tentativo di phishing e a verificare sempre la fonte e la legittimità delle richieste che ricevono. La security awareness è uno strumento fondamentale per difendersi dal phishing e da altre minacce informatiche.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360.
Visita il sito web dell'autore
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence
RUBRICHE
Alla scoperta della Sicurezza Informatica
Alla scoperta dell’Hacking
Interviste ai Threat Actors

RISORSE
Red Hot Cyber Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
COMMUNITY
Scrivi per Red Hot Cyber
Whistleblower
Red Hot Cyber Conference
Report
Contatti

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009

Facebook Twitter Youtube Linkedin Telegram Whatsapp