📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O kit de phishing Tycoon2FA agora oferece suporte a ataques de phishing de código de dispositivo e abusa de URLs de rastreamento de cliques Trustifi para sequestrar contas do Microsoft 365.
Apesar de uma operação internacional de aplicação da lei ter perturbado a plataforma de phishing Tycoon2FA em Março, a operação maliciosa foi reconstruída numa nova infra-estrutura e rapidamente regressou aos níveis normais de actividade.
No início deste mês, a Abnormal Security confirmou que o Tycoon2FA havia retornado às operações normais e até adicionou novas camadas de ofuscação para fortalecer sua resiliência contra novas tentativas de interrupção.
No final de abril, o Tycoon2FA foi observado em uma campanha que aproveitou os fluxos de concessão de autorização de dispositivos OAuth 2.0 para comprometer contas do Microsoft 365, indicando que a operadora continua desenvolvendo o kit.
O phishing de código de dispositivo é um tipo de ataque em que os agentes da ameaça enviam uma solicitação de autorização do dispositivo ao provedor do serviço alvo e encaminham o código gerado para a vítima, induzindo-a a inseri-lo na página de login legítima do serviço.
Isso autoriza o invasor a registrar um dispositivo não autorizado na conta do Microsoft 365 da vítima, dando-lhe acesso irrestrito aos dados e serviços da vítima, incluindo e-mail, calendário e armazenamento de arquivos na nuvem.
A Push Security alertou recentemente que esse tipo de ataque aumentou 37 vezes este ano, apoiado por pelo menos dez plataformas distintas de phishing como serviço (PhaaS) e kits privados. Um relatório mais recente da Proofpoint registra um aumento semelhante no uso da tática.
Tycoon2FA adiciona phishing de código de dispositivo
De acordo com uma nova pesquisa da empresa gerenciada de detecção e resposta eSentire, o Tycoon2FA confirma que o phishing de código de dispositivo se tornou muito popular entre os cibercriminosos.
“O ataque começa quando uma vítima clica em um URL de rastreamento de cliques Trustifi em um e-mail de isca e culmina com a vítima, sem saber, concedendo tokens OAuth a um dispositivo controlado pelo invasor por meio do fluxo de login de dispositivo legítimo da Microsoft em microsoft.com/devicelogin”, explica eSentire.
“Conectando esses dois pontos de extremidade está uma cadeia de entrega no navegador de quatro camadas, cujo tradecraft Tycoon 2FA permanece praticamente inalterado em relação à variante de retransmissão de credencial TRU documentada em abril de 2025 e à variante pós-remoção documentada em abril de 2026.”
Trustifi é uma plataforma legítima de segurança de e-mail que fornece uma variedade de ferramentas integradas a vários serviços de e-mail, incluindo os da Microsoft e do Google. No entanto, o eSentire não sabe como os invasores passaram a usar o Trustifi.
De acordo com os pesquisadores, o ataque usa um e-mail de phishing com tema de fatura contendo um URL de rastreamento Trustifi que redireciona através do Trustifi, Cloudflare Workers e várias camadas JavaScript ofuscadas, levando a vítima a uma página falsa do Microsoft CAPTCHA.
A página de phishing recupera um código de dispositivo Microsoft OAuth do back-end do invasor e instrui a vítima a copiá-lo e colá-lo em ‘microsoft.com/devicelogin’, após o qual a vítima conclui a autenticação multifator (MFA).
Após esta etapa, a Microsoft emite tokens de acesso e atualização OAuth para o dispositivo controlado pelo invasor.
Fluxo de ataque Tycoon2FAFonte: eSentire
O kit de phishing Tycoon2FA inclui ampla proteção contra pesquisadores e verificação automatizada, detectando Selenium, Puppeteer, Playwright, Burp Suite, bloqueando fornecedores de segurança, VPNs, sandboxes, rastreadores de IA e provedores de nuvem, além de usar armadilhas de tempo de depurador.
Solicitações de dispositivos que indicam um ambiente de análise são redirecionadas automaticamente para uma página legítima da Microsoft, diz eSentire.
Os pesquisadores descobriram que a lista de bloqueio do kit contém atualmente 230 nomes de fornecedores e é constantemente atualizada.
A eSentire recomenda desabilitar o fluxo de código do dispositivo OAuth quando não for necessário, restringir as permissões de consentimento do OAuth, exigir a aprovação do administrador para aplicativos de terceiros, habilitar a avaliação de acesso contínuo (CAE) e aplicar políticas de acesso a dispositivos compatíveis.
Além disso, os pesquisadores recomendam monitorar os logs do Entra para autenticação deviceCode, uso do Microsoft Authentication Broker e agentes de usuário Node.js.
A eSentire publicou um conjunto de indicadores de comprometimento (IoCs) para os ataques Tycoon2FA mais recentes para ajudar os defensores a proteger seus ambientes.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
Apesar de uma operação internacional de aplicação da lei ter perturbado a plataforma de phishing Tycoon2FA em Março, a operação maliciosa foi reconstruída numa nova infra-estrutura e rapidamente regressou aos níveis normais de actividade.
No início deste mês, a Abnormal Security confirmou que o Tycoon2FA havia retornado às operações normais e até adicionou novas camadas de ofuscação para fortalecer sua resiliência contra novas tentativas de interrupção.
No final de abril, o Tycoon2FA foi observado em uma campanha que aproveitou os fluxos de concessão de autorização de dispositivos OAuth 2.0 para comprometer contas do Microsoft 365, indicando que a operadora continua desenvolvendo o kit.
O phishing de código de dispositivo é um tipo de ataque em que os agentes da ameaça enviam uma solicitação de autorização do dispositivo ao provedor do serviço alvo e encaminham o código gerado para a vítima, induzindo-a a inseri-lo na página de login legítima do serviço.
Isso autoriza o invasor a registrar um dispositivo não autorizado na conta do Microsoft 365 da vítima, dando-lhe acesso irrestrito aos dados e serviços da vítima, incluindo e-mail, calendário e armazenamento de arquivos na nuvem.
A Push Security alertou recentemente que esse tipo de ataque aumentou 37 vezes este ano, apoiado por pelo menos dez plataformas distintas de phishing como serviço (PhaaS) e kits privados. Um relatório mais recente da Proofpoint registra um aumento semelhante no uso da tática.
Tycoon2FA adiciona phishing de código de dispositivo
De acordo com uma nova pesquisa da empresa gerenciada de detecção e resposta eSentire, o Tycoon2FA confirma que o phishing de código de dispositivo se tornou muito popular entre os cibercriminosos.
“O ataque começa quando uma vítima clica em um URL de rastreamento de cliques Trustifi em um e-mail de isca e culmina com a vítima, sem saber, concedendo tokens OAuth a um dispositivo controlado pelo invasor por meio do fluxo de login de dispositivo legítimo da Microsoft em microsoft.com/devicelogin”, explica eSentire.
“Conectando esses dois pontos de extremidade está uma cadeia de entrega no navegador de quatro camadas, cujo tradecraft Tycoon 2FA permanece praticamente inalterado em relação à variante de retransmissão de credencial TRU documentada em abril de 2025 e à variante pós-remoção documentada em abril de 2026.”
Trustifi é uma plataforma legítima de segurança de e-mail que fornece uma variedade de ferramentas integradas a vários serviços de e-mail, incluindo os da Microsoft e do Google. No entanto, o eSentire não sabe como os invasores passaram a usar o Trustifi.
De acordo com os pesquisadores, o ataque usa um e-mail de phishing com tema de fatura contendo um URL de rastreamento Trustifi que redireciona através do Trustifi, Cloudflare Workers e várias camadas JavaScript ofuscadas, levando a vítima a uma página falsa do Microsoft CAPTCHA.
A página de phishing recupera um código de dispositivo Microsoft OAuth do back-end do invasor e instrui a vítima a copiá-lo e colá-lo em ‘microsoft.com/devicelogin’, após o qual a vítima conclui a autenticação multifator (MFA).
Após esta etapa, a Microsoft emite tokens de acesso e atualização OAuth para o dispositivo controlado pelo invasor.
Fluxo de ataque Tycoon2FAFonte: eSentire
O kit de phishing Tycoon2FA inclui ampla proteção contra pesquisadores e verificação automatizada, detectando Selenium, Puppeteer, Playwright, Burp Suite, bloqueando fornecedores de segurança, VPNs, sandboxes, rastreadores de IA e provedores de nuvem, além de usar armadilhas de tempo de depurador.
Solicitações de dispositivos que indicam um ambiente de análise são redirecionadas automaticamente para uma página legítima da Microsoft, diz eSentire.
Os pesquisadores descobriram que a lista de bloqueio do kit contém atualmente 230 nomes de fornecedores e é constantemente atualizada.
A eSentire recomenda desabilitar o fluxo de código do dispositivo OAuth quando não for necessário, restringir as permissões de consentimento do OAuth, exigir a aprovação do administrador para aplicativos de terceiros, habilitar a avaliação de acesso contínuo (CAE) e aplicar políticas de acesso a dispositivos compatíveis.
Além disso, os pesquisadores recomendam monitorar os logs do Entra para autenticação deviceCode, uso do Microsoft Authentication Broker e agentes de usuário Node.js.
A eSentire publicou um conjunto de indicadores de comprometimento (IoCs) para os ataques Tycoon2FA mais recentes para ajudar os defensores a proteger seus ambientes.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #tycoon2fa #sequestra #contas #do #microsoft #365 #por #meio #de #phishing #de #código #de #dispositivo
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário