Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Password, autenticazione, CAPTCHA: è tutto inutile! Arriva Tycoon2FA e porta il PaaS a l’ultimo livello

Redazione RHC : 14 Aprile 2025 15:34


Sono stati scoperti aggiornamenti importanti nella piattaforma di phishing Tycoon2FA, nota per la sua capacità di aggirare l’autenticazione a due fattori in Microsoft 365 e Gmail.

Gli sviluppatori di questo strumento dannoso, che opera secondo il modello “phishing as a service” (PhaaS), hanno migliorato i meccanismi per mascherare ed eludere i sistemi di sicurezza.

L’esistenza di Tycoon2FA è stata rivelata per la prima volta nell’ottobre 2023 dagli esperti Aziende Sekoia. Da allora, la piattaforma si è evoluta notevolmente, diventando più sofisticata ed efficiente. Ora gli analisti di Trustwave hanno delineato diversi miglioramenti importanti che rendono molto più difficile per i sistemi di sicurezza degli endpoint rilevare attività dannose.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Una delle innovazioni principali è l’uso di caratteri Unicode invisibili per nascondere i dati binari nel codice JavaScript. La tecnica, descritta per la prima volta dai ricercatori di Juniper Threat Labs a febbraio, consente al codice dannoso di decifrare con successo ed essere eseguito all’avvio, senza essere rilevabile né dall’analisi automatizzata né dalla revisione umana.

I creatori della piattaforma hanno anche un abbandonato al servizio Turnstile di Cloudflare, sostituendolo con il proprio CAPTCHA basato su HTML5 canvas con elementi generati casualmente.

Secondo gli analisti, lo scopo del trucco è impedire ai sistemi di reputazione del dominio di identificare siti dannosi e offrire agli aggressori più opzioni per perfezionare il contenuto delle pagine di phishing.

Il terzo importante aggiornamento è l’introduzione di meccanismi anti-debug JavaScript. La piattaforma ha imparato a riconoscere strumenti di automazione del browser come PhantomJS e Burp Suite, bloccando le azioni correlate all’analisi di codice dannoso. Se viene rilevata un’attività sospetta o il CAPTCHA non viene completato correttamente (il che potrebbe indicare l’intervento di bot di sicurezza), l’utente viene automaticamente reindirizzato a una pagina esca o a un sito legittimo, come rakuten.com.

Trustwave sottolinea :Sebbene questi metodi di mascheramento non siano nuovi presi singolarmente, la loro combinazione rende molto più difficile rilevare e analizzare l’infrastruttura di phishing. Pertanto, bloccare e prevenire gli attacchi diventa un compito arduo.

Contemporaneamente, gli specialisti dell’azienda hanno registrato un aumento senza precedenti degli attacchi di phishing tramite file SVG. Questa tattica è stata adottata da diverse piattaforme di phishing: Tycoon2FA, Mamba2FA e Sneaky2FA. Tra aprile 2024 e marzo 2025, il numero di tali incidenti è aumentato di un incredibile 1.800%.

Gli aggressori mascherano i file SVG come messaggi vocali, loghi o icone di documenti cloud. La caratteristica unica del formato SVG (Scalable Vector Graphics) è che consente di incorporare codice JavaScript che viene eseguito automaticamente quando l’immagine viene aperta in un browser. Per evitare di essere scoperto, il codice dannoso viene crittografato utilizzando più metodi contemporaneamente: codifica base64, algoritmo ROT13, crittografia XOR e viene anche mascherato introducendo istruzioni inutili.

Lo scopo principale di questo codice è reindirizzare i destinatari dei messaggi a pagine di accesso false di Microsoft 365 per rubare le credenziali. A titolo di esempio, i ricercatori citano un’e-mail di phishing contenente una falsa notifica di Microsoft Teams relativa a un messaggio vocale. Quando si apre il file SVG allegato, camuffato da registrazione audio, nel browser viene eseguito il codice JavaScript, che reindirizza la vittima a una falsa pagina di accesso a Office 365.

A causa della crescente popolarità delle piattaforme di phishing e degli attacchi basati su SVG, si invitano gli utenti a prestare particolare attenzione quando verificano l’autenticità dei mittenti delle e-mail. Alcune delle misure di sicurezza più efficaci includono la configurazione di gateway di posta elettronica per bloccare o segnalare allegati SVG sospetti e l’utilizzo di metodi di autenticazione multifattoriale resistenti al phishing, come i dispositivi FIDO-2.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...