【翻译】深入分析Tycoon 2FA最新版AiTM钓鱼文件
字数 1959 2025-08-22 12:22:59

Tycoon 2FA AiTM钓鱼工具包深度分析与防御指南

1. 概述

Tycoon 2FA是一个中间人钓鱼即服务(Phishing-as-a-Service, PhaaS)平台,自2023年8月开始活跃,专门用于绕过多因素认证(MFA)。该工具包通过窃取会话cookie实现攻击,即使受害者更改了密码,攻击者仍能维持访问权限。

1.1 核心特点

  • 采用AiTM(Adversary-in-the-Middle)技术
  • 主要针对Microsoft 365和Gmail账户
  • 使用Cloudflare Turnstile进行机器人检测
  • 通过WebSocket实时窃取用户凭证
  • 提供管理面板和客户支持
  • 价格从10天120美元起

2. 技术架构分析

2.1 工作流程

Tycoon 2FA钓鱼攻击分为6个阶段:

Stage 0: 钓鱼页面分发

  • 通过URL和二维码重定向
  • 使用伪造的DocuSign、Microsoft、Adobe等文档作为诱饵
  • 针对人力资源、金融或高管部门员工

Stage 1: Cloudflare Turnstile验证

  • 嵌入自定义Cloudflare Turnstile页面
  • 显示文本"此页面正在运行浏览器检查以确保您的安全"
  • 通过C2服务器验证(返回"0"或"1")
  • 收集用户信息:IP、User-Agent、页面URL等

Stage 2: 电子邮件处理

  • 从URL提取电子邮件地址(支持明文和base64编码)
  • 根据是否存在电子邮件地址进行重定向
  • URL格式示例:hxxps://[domain]/[path]/?rred@act.ed

Stage 3: 重定向准备

  • 显示"Redirecting to"文本
  • 准备下一阶段的URL

Stage 4: 伪造Microsoft认证页面

  • 使用反混淆函数(XOR和base64)加载伪造页面
  • 下载资源:
    • Google reCAPTCHA API
    • Socket.IO库
    • jQuery
    • 背景图像和图标
  • 实现浏览器指纹识别
  • 初始化WebSocket连接
  • 下载并执行高度混淆的2FA挑战代码

Stage 5: 2FA中继攻击

  • 使用javascript-obfuscator进行代码混淆
  • 支持多种2FA方法:
    • 推送通知
    • 一次性密码(OTP)
    • 短信验证
    • 电话验证
  • 通过商业代理中继用户输入到合法Microsoft API
  • 根据API响应动态更新页面

Stage 6: 最终重定向

  • 将用户重定向到攻击者指定的URL
  • 常见默认重定向:hxxps://login.microsoftonline.com/common/SAS/ProcessAuth
  • 观察到伪造WeTransfer页面的案例
  • 最后发送受害者详情到C2服务器

2.2 WebSocket数据泄露

Tycoon 2FA通过WebSocket实时传输数据:

  1. 启动连接:交换会话ID和参数
  2. 泄露用户详细信息:邮箱、会话ID、浏览器类型、IP
  3. 状态更新:浏览器连接确认
  4. 服务器响应:验证结果和页面元素
  5. 泄露密码:用户输入的凭证
  6. 2FA交互:验证请求和响应
  7. 最终确认:完成认证过程

3. 版本演变与更新

3.1 旧版本特征(2023年10月)

  • 使用特定命名的JavaScript文件:
    • /myscr[0-9]{6}.js
    • /web6/assets/js/pages-head-top-web.min.js
    • /web6/assets/js/pages-head-web.min.js
    • /web6/assets/js/pages.min.js
  • 特定CSS文件:
    • pages-godaddy.css
    • pages-okta.css
  • 中心服务器域名:
    • codecrafterspro[.]com
    • codecrafters[.]su
    • devcraftingsolutions[.]com

3.2 新版本变化(2024年2月)

  • 增强混淆和反检测能力
  • 改变网络流量模式
  • 资源重命名和加载顺序调整
  • 更严格的流量过滤:
    • 数据中心IP
    • Tor网络IP
    • 特定User-Agent
    • Linux浏览器版本
  • Cloudflare Turnstile成为前置条件

4. 检测与防御

4.1 检测方法

基于历史特征的检测:

filename:("pages-godaddy.css" AND "pages-okta.css")
filename.keyword:/.*\/myscr[0-9]{6}\.js/
filename:("turnstile/v0/api.js" OR "/web6/assets/js/pages-head-top-web.min.js" OR "/web6/assets/js/pages-head-web.min.js")

针对新版本的检测:

filename:("code.jquery.com/jquery-3.6.0.min.js" AND "challenges.cloudflare.com/turnstile/v0/api.js")
hash:5feceb66ffc86f38d952786c6d696c79c2dbc239dd4e91b46729d73a27fb57e9
stats.requests:<7
stats.dataLength:<150000

4.2 防御建议

  1. 用户教育

    • 警惕要求认证的意外邮件/文档
    • 验证URL真实性
    • 注意Cloudflare Turnstile后的异常页面

  2. 技术措施

    • 实施高级邮件过滤
    • 使用支持AiTM检测的EDR/XDR解决方案
    • 监控异常认证模式
    • 限制会话持续时间
    • 实施基于风险的认证策略

  3. 网络监控

    • 跟踪已知IoC(见附录)
    • 监控与C2服务器的通信
    • 分析WebSocket流量模式

附录:IoC列表

域名:

0q5e0.nemen9[.]com
25rw2.canweal[.]com
35fu2.ouchar[.]ru
4343w.jgu0[.]com
43rw98nop8.m1p8z[.]com
4m2swl.7e2r[.]com
5me78.methw[.]ru
6j312.rchan0[.]com
77p3e.rimesh3[.]com
8000n.uqin[.]ru
8uecv.gnornamb[.]com
98q5e.ructin[.]com
9c43r.theq0[.]com
9oc0y2isa27.demur3[.]com
beacon.diremsto[.]com
bloggcenter[.]com
buneji.fiernmar[.]com
e85t8.nechsha[.]com
ex1uo.rhknt[.]ru
explore.atlester[.]ru
fiq75d.rexj[.]ru
fisaca.trodeckh[.]com
galume.aricente[.]com
gz238.uatimin[.]com
Horizon.sologerg[.]com
jp1y36.it2ua[.]com
k348d.venti71[.]com
kjlvo.ningeona[.]com
kjsdflwe.nitertym[.]ru
l846d.ferver8[.]com
libudi.oreversa[.]com
n29k4.ilert[.]ru
n9zph.lw8opi[.]com
o6t94g.3tdx2r[.]com
oo99v.coqqwx[.]ru
p1v12.17nor[.]com
pmd8ot6xhw.3qjpc[.]com
q908q.refec7[.]com
r298y.sem01[.]com
rlpq.tk9u[.]com
roriku.orankfix[.]com
tlger-surveillance[.]com
tnyr.moporins[.]com
wasogo.shantowd[.]com
x12y.restrice[.]ru
xrs.chenebystie[.]com
xva.tjlpkcia[.]com
zaqaxu.dthiterp[.]ru
zekal6.tnjxb[.]com
zemj4f.ymarir[.]ru

加密货币钱包:

19NReVFKJsYYCCFLq1uNKYrUqQE2bB4Jwx
Tycoon 2FA AiTM钓鱼工具包深度分析与防御指南 1. 概述 Tycoon 2FA是一个中间人钓鱼即服务(Phishing-as-a-Service, PhaaS)平台,自2023年8月开始活跃,专门用于绕过多因素认证(MFA)。该工具包通过窃取会话cookie实现攻击,即使受害者更改了密码,攻击者仍能维持访问权限。 1.1 核心特点 采用AiTM(Adversary-in-the-Middle)技术 主要针对Microsoft 365和Gmail账户 使用Cloudflare Turnstile进行机器人检测 通过WebSocket实时窃取用户凭证 提供管理面板和客户支持 价格从10天120美元起 2. 技术架构分析 2.1 工作流程 Tycoon 2FA钓鱼攻击分为6个阶段: Stage 0: 钓鱼页面分发 通过URL和二维码重定向 使用伪造的DocuSign、Microsoft、Adobe等文档作为诱饵 针对人力资源、金融或高管部门员工 Stage 1: Cloudflare Turnstile验证 嵌入自定义Cloudflare Turnstile页面 显示文本"此页面正在运行浏览器检查以确保您的安全" 通过C2服务器验证(返回"0"或"1") 收集用户信息:IP、User-Agent、页面URL等 Stage 2: 电子邮件处理 从URL提取电子邮件地址(支持明文和base64编码) 根据是否存在电子邮件地址进行重定向 URL格式示例: hxxps://[domain]/[path]/?rred@act.ed Stage 3: 重定向准备 显示"Redirecting to"文本 准备下一阶段的URL Stage 4: 伪造Microsoft认证页面 使用反混淆函数(XOR和base64)加载伪造页面 下载资源: Google reCAPTCHA API Socket.IO库 jQuery 背景图像和图标 实现浏览器指纹识别 初始化WebSocket连接 下载并执行高度混淆的2FA挑战代码 Stage 5: 2FA中继攻击 使用javascript-obfuscator进行代码混淆 支持多种2FA方法: 推送通知 一次性密码(OTP) 短信验证 电话验证 通过商业代理中继用户输入到合法Microsoft API 根据API响应动态更新页面 Stage 6: 最终重定向 将用户重定向到攻击者指定的URL 常见默认重定向: hxxps://login.microsoftonline.com/common/SAS/ProcessAuth 观察到伪造WeTransfer页面的案例 最后发送受害者详情到C2服务器 2.2 WebSocket数据泄露 Tycoon 2FA通过WebSocket实时传输数据: 启动连接:交换会话ID和参数 泄露用户详细信息:邮箱、会话ID、浏览器类型、IP 状态更新:浏览器连接确认 服务器响应:验证结果和页面元素 泄露密码:用户输入的凭证 2FA交互:验证请求和响应 最终确认:完成认证过程 3. 版本演变与更新 3.1 旧版本特征(2023年10月) 使用特定命名的JavaScript文件: /myscr[0-9]{6}.js /web6/assets/js/pages-head-top-web.min.js /web6/assets/js/pages-head-web.min.js /web6/assets/js/pages.min.js 特定CSS文件: pages-godaddy.css pages-okta.css 中心服务器域名: codecrafterspro[.]com codecrafters[.]su devcraftingsolutions[.]com 3.2 新版本变化(2024年2月) 增强混淆和反检测能力 改变网络流量模式 资源重命名和加载顺序调整 更严格的流量过滤: 数据中心IP Tor网络IP 特定User-Agent Linux浏览器版本 Cloudflare Turnstile成为前置条件 4. 检测与防御 4.1 检测方法 基于历史特征的检测: 针对新版本的检测: 4.2 防御建议 用户教育 : 警惕要求认证的意外邮件/文档 验证URL真实性 注意Cloudflare Turnstile后的异常页面 技术措施 : 实施高级邮件过滤 使用支持AiTM检测的EDR/XDR解决方案 监控异常认证模式 限制会话持续时间 实施基于风险的认证策略 网络监控 : 跟踪已知IoC(见附录) 监控与C2服务器的通信 分析WebSocket流量模式 附录:IoC列表 域名: 加密货币钱包: