Обнаружены важные обновления в работе фишинговой платформы Tycoon2FA

Разработчики вредоносного инструмента, работающего по модели "фишинг как услуга" (PhaaS), усовершенствовали механизмы маскировки и уклонения от систем защиты.

Впервые о существовании Tycoon2FA стало известно в октябре 2023 года благодаря специалистам компании Sekoia. С тех пор платформа заметно эволюционировала, став более изощрённой и эффективной. Теперь аналитики Trustwave рассказали о нескольких важных улучшениях, которые существенно затрудняют обнаружение вредоносной активности системами безопасности конечных точек, пишет Securitylab.

Одно из ключевых нововведений - использование невидимых символов Unicode для сокрытия бинарных данных в JavaScript-коде. Этот метод, впервые описанный исследователями Juniper Threat Labs в феврале, позволяет вредоносному коду успешно расшифровываться и выполняться в момент запуска, оставаясь при этом незаметным как для автоматического анализа, так и для ручной проверки специалистами.

Создатели платформы также отказались от сервиса Cloudflare Turnstile, заменив его собственной CAPTCHA на основе HTML5 canvas со случайно генерируемыми элементами. По мнению аналитиков, эта уловка должна помешать системам оценки репутации доменов выявлять вредоносные сайты, а также предоставить злоумышленникам больше возможностей для тонкой настройки содержимого фишинговых страниц.

Третье важное обновление — внедрение JavaScript-механизмов противодействия отладке. Платформа научилась распознавать инструменты автоматизации браузера, такие как PhantomJS и Burp Suite, блокируя действия, связанные с анализом вредоносного кода. При выявлении подозрительной активности или неудачном прохождении CAPTCHA (что может указывать на работу защитных ботов) пользователя автоматически перенаправляют на страницу-приманку или легитимный сайт, например, rakuten.com.

В Trustwave подчёркивают: хотя по отдельности эти методы маскировки не новы, их комбинация в разы усложняет обнаружение и анализ фишинговой инфраструктуры. Поэтому блокировка и пресечение атак тоже становятся задачами не из простых.

Параллельно специалисты компании зафиксировали беспрецедентный рост фишинговых атак с использованием SVG-файлов. Такую тактику взяли на вооружение сразу несколько фишинговых платформ: Tycoon2FA, Mamba2FA и Sneaky2FA. За период с апреля 2024 по март 2025 года количество подобных инцидентов выросло на колоссальные 1800%.

Злоумышленники маскируют SVG-файлы под голосовые сообщения, логотипы или значки облачных документов. Особенность формата SVG (Scalable Vector Graphics) в том, что он позволяет встраивать JavaScript-код, который автоматически запускается при открытии изображения в браузере. Чтобы избежать обнаружения, вредоносный код шифруется с помощью нескольких методов одновременно: кодирования base64, алгоритма ROT13, XOR-шифрования, а также маскируется путём внедрения бесполезных инструкций.

Основная цель этого кода — перенаправить получателей сообщений на поддельные страницы авторизации Microsoft 365 для кражи учётных данных. В качестве примера исследователи приводят фишинговое письмо с поддельным уведомлением Microsoft Teams о голосовом сообщении. При открытии прикреплённого SVG-файла, замаскированного под аудиозапись, в браузере выполняется JavaScript-код, который перенаправляет жертву на фальшивую страницу входа в Office 365.