Tycoon 2FA New Phishing-as-a-Service (PhaaS) Menargetkan Microsoft 365 dan Gmail
March 15, 2024Deskripsi
1
Pada Oktober 2023, peneliti Sekoia menemukan adanya phishing kit platform Tycoon 2FA yang menargetkan bypass proteksi two-factor authentication (2FA) akun Microsoft 365 dan Gmail. Tahun 2024, Tycoon 2FA mengeluarkan versi baru yang lebih sulit dideteksi.
Proses Serangan
2
1. Threat actor menggunakan reverse proxy server yang dihosting pada halaman web phishing. Halaman ini akan melakukan intercepts request pengguna dan melanjutkan requestnya ke layanan aslinya (Microsoft 365 atau Gmail).
2. Setelah pengguna menyelesaikan proses 2FA dan proses autentikasi berhasil, maka server phishing milik threat actor akan mengambil session cookie pengguna sehingga dapat mem-bypass mekanisme multi-factor authentication (MFA).
Mitigasi
3
- Awareness kepada pengguna agar selalu waspada ketika membuka link apapun dan memastikan halaman login Microsoft 365 ataupun Gmail sesuai dengan aslinya.
- Melakukan blacklist domain IoC Tycoon (sumber no 2)
Sumber:
1. https://blog.sekoia.io/tycoon-2fa-an-in-depth-analysis-of-the-latest-version-of-the-aitm-phishing-kit/
2. IOC Tycoon: https://tlkm.id/R8pXE9
