Phishing-as-a-service (PhaaS) platform Tycoon2FA, bekend om het omzeilen van multi-factor authenticatie op Microsoft 365 en Gmail-accounts, heeft updates gekregen die zijn stealth- en ontwijkingscapaciteiten verbeteren.

Tycoon2FA werd in oktober 2023 ontdekt door onderzoekers van Sekoia, die later belangrijke updates meldden over de phishingkit die de verfijning en effectiviteit ervan verhoogden.

Trustwave meldt nu dat de bedreigingsactoren van Tycoon 2FA verschillende verbeteringen hebben toegevoegd die de mogelijkheid van de kit versterken om detectie en endpoint-beveiligingsmaatregelen te omzeilen.

De eerste opvallende verandering is het gebruik van onzichtbare Unicode-tekens om binaire gegevens binnen JavaScript te verbergen, zoals voor het eerst gemeld door Juniper Threat Labs in februari. Deze tactiek stelt de payload in staat om bij runtime normaal te worden gedecodeerd en uitgevoerd, terwijl handmatige (menselijke) en statische patroonherkenningsanalyse worden vermeden.

De tweede ontwikkeling is de overstap van Cloudflare Turnstile naar een zelf-gehoste CAPTCHA die via HTML5-canvas met willekeurige elementen wordt gerenderd.

Waarschijnlijk hebben de makers van Tycoon 2FA voor deze verandering gekozen om vingerafdrukken en signalering door domeinreputatiesystemen te vermijden en meer aanpassingscontrole over de inhoud van de pagina te verkrijgen.

De derde belangrijke verandering is de opname van anti-debugging JavaScript dat browser-automatiseringstools zoals PhantomJS en Burp Suite detecteert en bepaalde acties blokkeert die verband houden met analyse.

Wanneer verdachte activiteit wordt gedetecteerd of de CAPTCHA mislukt (mogelijk een indicatie van beveiligingsbots), krijgt de gebruiker een misleidende pagina te zien of wordt omgeleid naar een legitieme website zoals rakuten.com.

Trustwave benadrukt dat hoewel deze ontwijkingstechnieken afzonderlijk niet nieuw zijn, ze in combinatie een groot verschil maken. Ze maken detectie en analyse moeilijker, wat kan leiden tot het onthullen van phishinginfrastructuur en leiden tot ontmanteling en verstoring.

### Stijging in SVG-aas

In een apart maar gerelateerd rapport meldt Trustwave een aanzienlijke toename in phishingaanvallen met behulp van kwaadaardige SVG (Scalable Vector Graphics) bestanden, aangestuurd door PhaaS-platforms zoals Tycoon2FA, Mamba2FA en Sneaky2FA.

Het cybersecuritybedrijf rapporteert een scherpe stijging van 1.800% van april 2024 tot maart 2025, wat wijst op een duidelijke verschuiving in tactieken die de voorkeur geven aan dit specifieke bestandsformaat.

De kwaadaardige SVG’s die in de phishingaanvallen worden gebruikt, zijn voor afbeeldingen die worden vermomd als voicemailberichten, logo’s of pictogrammen van clouddocumenten. SVG-bestanden kunnen echter ook JavaScript bevatten dat automatisch wordt geactiveerd wanneer de afbeelding in browsers wordt weergegeven.

Deze code is verhuld met behulp van base64-codering, ROT13, XOR-encryptie en junkcode, zodat detectie minder waarschijnlijk is.

De functie van de kwaadaardige code is om de ontvangers van het bericht om te leiden naar Microsoft 365-phishingpagina’s die hun accountgegevens stelen.

Een casestudy gepresenteerd in het Trustwave-rapport betreft een nep-Microsoft Teams voicemailwaarschuwing met een SVG-bestand als bijlage vermomd als een audiobericht. Het klikken erop opent een externe browser die JavaScript uitvoert en doorverwijst naar een nep Office 365-inlogpagina.

De opkomst van PhaaS-platforms en SVG-gebaseerde phishing vereist verhoogde waakzaamheid en de noodzaak voor verificatie van de authenticiteit van de afzender.

Een effectieve verdedigingsmaatregel is om SVG-bijlagen in e-mailgateways te blokkeren of te markeren en om phishingbestendige MFA-methoden zoals FIDO-2-apparaten te gebruiken.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----