🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Tycoon 2FA, um dos proeminentes kits de ferramentas de phishing como serviço (PhaaS) que permitiu aos cibercriminosos realizar ataques de coleta de credenciais de adversário no meio (AitM) em grande escala, foi desmantelado por uma coalizão de agências de aplicação da lei e empresas de segurança.
O kit de phishing baseado em assinatura, que surgiu pela primeira vez em agosto de 2023, foi descrito pela Europol como uma das maiores operações de phishing em todo o mundo. O kit foi vendido via Telegram e Signal por um preço inicial de US$ 120 por 10 dias ou US$ 350 para acesso a um painel de administração baseado na web por um mês. O principal desenvolvedor do Tycoon 2FA é supostamente Saad Fridi, que estaria baseado no Paquistão.
O painel serve como um hub para configurar, rastrear e refinar campanhas. Ele apresenta modelos pré-construídos, arquivos anexos para formatos de isca comuns, configuração de domínio e hospedagem, lógica de redirecionamento e rastreamento de vítimas. Os operadores também podem configurar como o conteúdo malicioso é entregue por meio de anexos, bem como controlar tentativas de login válidas e inválidas.
As informações capturadas, como credenciais, códigos de autenticação multifator (MFA) e cookies de sessão, podem ser baixadas diretamente no painel ou encaminhadas ao Telegram para monitoramento quase em tempo real.
“Permitiu que milhares de cibercriminosos acessassem secretamente e-mails e contas de serviços baseados em nuvem”, disse a Europol. “Em escala, a plataforma gerou dezenas de milhões de e-mails de phishing todos os meses e facilitou o acesso não autorizado a quase 100 mil organizações em todo o mundo, incluindo escolas, hospitais e instituições públicas”.
Como parte do esforço coordenado, 330 domínios que constituíam a espinha dorsal do serviço criminal, incluindo páginas de phishing e painéis de controlo, foram retirados.
Caracterizando o Tycoon 2FA como “perigoso”, a Intel 471 disse que o kit estava vinculado a mais de 64.000 incidentes de phishing e dezenas de milhares de domínios, gerando dezenas de milhões de e-mails de phishing todos os meses. Segundo a Microsoft, que rastreia os operadores do serviço sob o nome Storm-1747, o Tycoon 2FA tornou-se a plataforma mais prolífica observada pela empresa em 2025, levando-a a bloquear mais de 13 milhões de e-mails maliciosos ligados ao serviço de crimeware em outubro de 2025.
No total, o Tycoon 2FA foi responsável por aproximadamente 62% de todas as tentativas de phishing bloqueadas pela Microsoft em meados de 2025, incluindo mais de 30 milhões de e-mails num único mês. O serviço está vinculado a cerca de 96.000 vítimas distintas de phishing em todo o mundo desde 2023, incluindo mais de 55.000 clientes da Microsoft, acrescentou a gigante da tecnologia.
Linha do tempo de evolução do Tycoon 2FA (Fonte: Point Wild)\
A análise geográfica dos dados de registo de vítimas pelo SpyCloud indica que os EUA tiveram a maior concentração de vítimas identificadas (179.264), seguidos pelo Reino Unido (16.901), Canadá (15.272), Índia (7.832) e França (6.823).
“A esmagadora maioria das contas-alvo eram gerenciadas por empresas ou de outra forma associadas a domínios pagos, reforçando a conclusão de que o Tycoon 2FA é direcionado principalmente a ambientes de negócios, e não a contas de consumidores individuais”, disse a empresa de segurança cibernética.
Dados da Proofpoint mostram que o Tycoon 2FA foi responsável pelo maior volume de ameaças de phishing AiTM. A empresa de segurança de e-mail disse ter observado mais de três milhões de mensagens associadas ao kit de phishing somente em fevereiro de 2026. A Trend Micro, que foi um dos parceiros do setor privado na operação, observou que a plataforma PhaaS tinha aproximadamente 2.000 usuários.
As campanhas que alavancam o Tycoon 2FA têm como alvo indiscriminadamente quase todos os setores, incluindo educação, saúde, finanças, organizações sem fins lucrativos e governo. Os e-mails de phishing enviados pelo kit alcançaram mais de 500 mil organizações todos os meses em todo o mundo.
“A plataforma do Tycoon 2FA permitiu que os agentes de ameaças se passassem por marcas confiáveis, imitando páginas de login para serviços como Microsoft 365, OneDrive, Outlook, SharePoint e Gmail”, disse a Microsoft.
"Ele também permitiu que os agentes de ameaças usando seu serviço estabelecessem persistência e acessassem informações confidenciais mesmo depois que as senhas fossem redefinidas, a menos que as sessões ativas e os tokens fossem explicitamente revogados. Isso funcionou interceptando cookies de sessão gerados durante o processo de autenticação, capturando simultaneamente as credenciais do usuário. Os códigos MFA foram posteriormente retransmitidos através dos servidores proxy do Tycoon 2FA para o serviço de autenticação."
O kit também empregou técnicas como monitoramento de pressionamento de tecla, triagem anti-bot, impressão digital do navegador, ofuscação pesada de código, CAPTCHAs auto-hospedados, JavaScript personalizado e páginas iscas dinâmicas para evitar esforços de detecção. Outro aspecto importante é o uso de uma combinação mais ampla de domínios de primeiro nível (TLDs) e nomes de domínio totalmente qualificados (FQDNs) de curta duração para hospedar a infraestrutura de phishing na Cloudflare.
Os FQDNs geralmente duram apenas 24
O kit de phishing baseado em assinatura, que surgiu pela primeira vez em agosto de 2023, foi descrito pela Europol como uma das maiores operações de phishing em todo o mundo. O kit foi vendido via Telegram e Signal por um preço inicial de US$ 120 por 10 dias ou US$ 350 para acesso a um painel de administração baseado na web por um mês. O principal desenvolvedor do Tycoon 2FA é supostamente Saad Fridi, que estaria baseado no Paquistão.
O painel serve como um hub para configurar, rastrear e refinar campanhas. Ele apresenta modelos pré-construídos, arquivos anexos para formatos de isca comuns, configuração de domínio e hospedagem, lógica de redirecionamento e rastreamento de vítimas. Os operadores também podem configurar como o conteúdo malicioso é entregue por meio de anexos, bem como controlar tentativas de login válidas e inválidas.
As informações capturadas, como credenciais, códigos de autenticação multifator (MFA) e cookies de sessão, podem ser baixadas diretamente no painel ou encaminhadas ao Telegram para monitoramento quase em tempo real.
“Permitiu que milhares de cibercriminosos acessassem secretamente e-mails e contas de serviços baseados em nuvem”, disse a Europol. “Em escala, a plataforma gerou dezenas de milhões de e-mails de phishing todos os meses e facilitou o acesso não autorizado a quase 100 mil organizações em todo o mundo, incluindo escolas, hospitais e instituições públicas”.
Como parte do esforço coordenado, 330 domínios que constituíam a espinha dorsal do serviço criminal, incluindo páginas de phishing e painéis de controlo, foram retirados.
Caracterizando o Tycoon 2FA como “perigoso”, a Intel 471 disse que o kit estava vinculado a mais de 64.000 incidentes de phishing e dezenas de milhares de domínios, gerando dezenas de milhões de e-mails de phishing todos os meses. Segundo a Microsoft, que rastreia os operadores do serviço sob o nome Storm-1747, o Tycoon 2FA tornou-se a plataforma mais prolífica observada pela empresa em 2025, levando-a a bloquear mais de 13 milhões de e-mails maliciosos ligados ao serviço de crimeware em outubro de 2025.
No total, o Tycoon 2FA foi responsável por aproximadamente 62% de todas as tentativas de phishing bloqueadas pela Microsoft em meados de 2025, incluindo mais de 30 milhões de e-mails num único mês. O serviço está vinculado a cerca de 96.000 vítimas distintas de phishing em todo o mundo desde 2023, incluindo mais de 55.000 clientes da Microsoft, acrescentou a gigante da tecnologia.
Linha do tempo de evolução do Tycoon 2FA (Fonte: Point Wild)\
A análise geográfica dos dados de registo de vítimas pelo SpyCloud indica que os EUA tiveram a maior concentração de vítimas identificadas (179.264), seguidos pelo Reino Unido (16.901), Canadá (15.272), Índia (7.832) e França (6.823).
“A esmagadora maioria das contas-alvo eram gerenciadas por empresas ou de outra forma associadas a domínios pagos, reforçando a conclusão de que o Tycoon 2FA é direcionado principalmente a ambientes de negócios, e não a contas de consumidores individuais”, disse a empresa de segurança cibernética.
Dados da Proofpoint mostram que o Tycoon 2FA foi responsável pelo maior volume de ameaças de phishing AiTM. A empresa de segurança de e-mail disse ter observado mais de três milhões de mensagens associadas ao kit de phishing somente em fevereiro de 2026. A Trend Micro, que foi um dos parceiros do setor privado na operação, observou que a plataforma PhaaS tinha aproximadamente 2.000 usuários.
As campanhas que alavancam o Tycoon 2FA têm como alvo indiscriminadamente quase todos os setores, incluindo educação, saúde, finanças, organizações sem fins lucrativos e governo. Os e-mails de phishing enviados pelo kit alcançaram mais de 500 mil organizações todos os meses em todo o mundo.
“A plataforma do Tycoon 2FA permitiu que os agentes de ameaças se passassem por marcas confiáveis, imitando páginas de login para serviços como Microsoft 365, OneDrive, Outlook, SharePoint e Gmail”, disse a Microsoft.
"Ele também permitiu que os agentes de ameaças usando seu serviço estabelecessem persistência e acessassem informações confidenciais mesmo depois que as senhas fossem redefinidas, a menos que as sessões ativas e os tokens fossem explicitamente revogados. Isso funcionou interceptando cookies de sessão gerados durante o processo de autenticação, capturando simultaneamente as credenciais do usuário. Os códigos MFA foram posteriormente retransmitidos através dos servidores proxy do Tycoon 2FA para o serviço de autenticação."
O kit também empregou técnicas como monitoramento de pressionamento de tecla, triagem anti-bot, impressão digital do navegador, ofuscação pesada de código, CAPTCHAs auto-hospedados, JavaScript personalizado e páginas iscas dinâmicas para evitar esforços de detecção. Outro aspecto importante é o uso de uma combinação mais ampla de domínios de primeiro nível (TLDs) e nomes de domínio totalmente qualificados (FQDNs) de curta duração para hospedar a infraestrutura de phishing na Cloudflare.
Os FQDNs geralmente duram apenas 24
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #operação #liderada #pela #europol #derruba #phishing #como #serviço #do #tycoon #2fa #vinculado #a #64.000 #ataques
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário