Tycoon 2FA AiTM钓鱼工具包深度分析与防御指南<\/h1>

1. 概述<\/h2>
Tycoon 2FA是一个中间人钓鱼即服务(Phishing-as-a-Service, PhaaS)平台，自2023年8月开始活跃，专门用于绕过多因素认证(MFA)。该工具包通过窃取会话cookie实现攻击，即使受害者更改了密码，攻击者仍能维持访问权限。<\/p>

1.1 核心特点<\/h3>

采用AiTM(Adversary-in-the-Middle)技术<\/li>
主要针对Microsoft 365和Gmail账户<\/li>
使用Cloudflare Turnstile进行机器人检测<\/li>
通过WebSocket实时窃取用户凭证<\/li>
提供管理面板和客户支持<\/li>

价格从10天120美元起<\/li> <\/ul>

2. 技术架构分析<\/h2>

2.1 工作流程<\/h3>
Tycoon 2FA钓鱼攻击分为6个阶段：<\/p>

Stage 0: 钓鱼页面分发<\/h4>

通过URL和二维码重定向<\/li>
使用伪造的DocuSign、Microsoft、Adobe等文档作为诱饵<\/li>

针对人力资源、金融或高管部门员工<\/li> <\/ul>

Stage 1: Cloudflare Turnstile验证<\/h4>

嵌入自定义Cloudflare Turnstile页面<\/li>
显示文本"此页面正在运行浏览器检查以确保您的安全"<\/li>
通过C2服务器验证(返回"0"或"1")<\/li>

收集用户信息：IP、User-Agent、页面URL等<\/li> <\/ul>

Stage 2: 电子邮件处理<\/h4>

从URL提取电子邮件地址(支持明文和base64编码)<\/li>
根据是否存在电子邮件地址进行重定向<\/li>

URL格式示例：

hxxps:\/\/[domain]\/[path]\/?rred@act.ed<\/code><\/li>
<\/ul>
Stage 3: 重定向准备<\/h4>

显示"Redirecting to"文本<\/li>
准备下一阶段的URL<\/li>
<\/ul>
Stage 4: 伪造Microsoft认证页面<\/h4>

使用反混淆函数(XOR和base64)加载伪造页面<\/li>
下载资源：

Google reCAPTCHA API<\/li>
Socket.IO库<\/li>
jQuery<\/li>
背景图像和图标<\/li>
<\/ul>
<\/li>
实现浏览器指纹识别<\/li>
初始化WebSocket连接<\/li>
下载并执行高度混淆的2FA挑战代码<\/li>
<\/ul>
Stage 5: 2FA中继攻击<\/h4>

使用javascript-obfuscator进行代码混淆<\/li>
支持多种2FA方法：

推送通知<\/li>
一次性密码(OTP)<\/li>
短信验证<\/li>
电话验证<\/li>
<\/ul>
<\/li>
通过商业代理中继用户输入到合法Microsoft API<\/li>
根据API响应动态更新页面<\/li>
<\/ul>
Stage 6: 最终重定向<\/h4>

将用户重定向到攻击者指定的URL<\/li>
常见默认重定向：hxxps:\/\/login.microsoftonline.com\/common\/SAS\/ProcessAuth<\/code><\/li>
观察到伪造WeTransfer页面的案例<\/li>
最后发送受害者详情到C2服务器<\/li>
<\/ul>
2.2 WebSocket数据泄露<\/h3>
Tycoon 2FA通过WebSocket实时传输数据：<\/p>

启动连接：交换会话ID和参数<\/li>
泄露用户详细信息：邮箱、会话ID、浏览器类型、IP<\/li>
状态更新：浏览器连接确认<\/li>
服务器响应：验证结果和页面元素<\/li>
泄露密码：用户输入的凭证<\/li>
2FA交互：验证请求和响应<\/li>
最终确认：完成认证过程<\/li>
<\/ol>
3. 版本演变与更新<\/h2>
3.1 旧版本特征(2023年10月)<\/h3>

使用特定命名的JavaScript文件：

\/myscr[0-9]{6}.js<\/code><\/li>
\/web6\/assets\/js\/pages-head-top-web.min.js<\/code><\/li>
\/web6\/assets\/js\/pages-head-web.min.js<\/code><\/li>
\/web6\/assets\/js\/pages.min.js<\/code><\/li>
<\/ul>
<\/li>
特定CSS文件：

pages-godaddy.css<\/code><\/li>
pages-okta.css<\/code><\/li>
<\/ul>
<\/li>
中心服务器域名：

codecrafterspro[.]com<\/code><\/li>
codecrafters[.]su<\/code><\/li>
devcraftingsolutions[.]com<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
3.2 新版本变化(2024年2月)<\/h3>

增强混淆和反检测能力<\/li>
改变网络流量模式<\/li>
资源重命名和加载顺序调整<\/li>
更严格的流量过滤：

数据中心IP<\/li>
Tor网络IP<\/li>
特定User-Agent<\/li>
Linux浏览器版本<\/li>
<\/ul>
<\/li>
Cloudflare Turnstile成为前置条件<\/li>
<\/ul>
4. 检测与防御<\/h2>
4.1 检测方法<\/h3>
基于历史特征的检测：<\/h4>
filename:("pages-godaddy.css" AND "pages-okta.css")
filename.keyword:\/.*\\/myscr[0-9]{6}\.js\/
filename:("turnstile\/v0\/api.js" OR "\/web6\/assets\/js\/pages-head-top-web.min.js" OR "\/web6\/assets\/js\/pages-head-web.min.js")
<\/code><\/pre>
针对新版本的检测：<\/h4>
filename:("code.jquery.com\/jquery-3.6.0.min.js" AND "challenges.cloudflare.com\/turnstile\/v0\/api.js")
hash:5feceb66ffc86f38d952786c6d696c79c2dbc239dd4e91b46729d73a27fb57e9
stats.requests:<7
stats.dataLength:<150000
<\/code><\/pre>
4.2 防御建议<\/h3>


用户教育<\/strong>：<\/p>

警惕要求认证的意外邮件\/文档<\/li>
验证URL真实性<\/li>
注意Cloudflare Turnstile后的异常页面<\/li>
<\/ul>
<\/li>

技术措施<\/strong>：<\/p>

实施高级邮件过滤<\/li>
使用支持AiTM检测的EDR\/XDR解决方案<\/li>
监控异常认证模式<\/li>
限制会话持续时间<\/li>
实施基于风险的认证策略<\/li>
<\/ul>
<\/li>

网络监控<\/strong>：<\/p>

跟踪已知IoC(见附录)<\/li>
监控与C2服务器的通信<\/li>
分析WebSocket流量模式<\/li>
<\/ul>
<\/li>
<\/ol>
附录：IoC列表<\/h2>
域名：<\/h3>
0q5e0.nemen9[.]com
25rw2.canweal[.]com
35fu2.ouchar[.]ru
4343w.jgu0[.]com
43rw98nop8.m1p8z[.]com
4m2swl.7e2r[.]com
5me78.methw[.]ru
6j312.rchan0[.]com
77p3e.rimesh3[.]com
8000n.uqin[.]ru
8uecv.gnornamb[.]com
98q5e.ructin[.]com
9c43r.theq0[.]com
9oc0y2isa27.demur3[.]com
beacon.diremsto[.]com
bloggcenter[.]com
buneji.fiernmar[.]com
e85t8.nechsha[.]com
ex1uo.rhknt[.]ru
explore.atlester[.]ru
fiq75d.rexj[.]ru
fisaca.trodeckh[.]com
galume.aricente[.]com
gz238.uatimin[.]com
Horizon.sologerg[.]com
jp1y36.it2ua[.]com
k348d.venti71[.]com
kjlvo.ningeona[.]com
kjsdflwe.nitertym[.]ru
l846d.ferver8[.]com
libudi.oreversa[.]com
n29k4.ilert[.]ru
n9zph.lw8opi[.]com
o6t94g.3tdx2r[.]com
oo99v.coqqwx[.]ru
p1v12.17nor[.]com
pmd8ot6xhw.3qjpc[.]com
q908q.refec7[.]com
r298y.sem01[.]com
rlpq.tk9u[.]com
roriku.orankfix[.]com
tlger-surveillance[.]com
tnyr.moporins[.]com
wasogo.shantowd[.]com
x12y.restrice[.]ru
xrs.chenebystie[.]com
xva.tjlpkcia[.]com
zaqaxu.dthiterp[.]ru
zekal6.tnjxb[.]com
zemj4f.ymarir[.]ru
<\/code><\/pre>
加密货币钱包：<\/h3>
19NReVFKJsYYCCFLq1uNKYrUqQE2bB4Jwx
<\/code><\/pre>

Tycoon 2FA AiTM钓鱼工具包深度分析与防御指南<\/h1>

1. 概述<\/h2> Tycoon 2FA是一个中间人钓鱼即服务(Phishing-as-a-Service, PhaaS)平台，自2023年8月开始活跃，专门用于绕过多因素认证(MFA)。该工具包通过窃取会话cookie实现攻击，即使受害者更改了密码，攻击者仍能维持访问权限。<\/p>

2. 技术架构分析<\/h2>

2.1 工作流程<\/h3> Tycoon 2FA钓鱼攻击分为6个阶段：<\/p>

3. 版本演变与更新<\/h2>

4. 检测与防御<\/h2>

4.1 检测方法<\/h3>

附录：IoC列表<\/h2>

加密货币钱包：<\/h3> 19NReVFKJsYYCCFLq1uNKYrUqQE2bB4Jwx <\/code><\/pre>

1. 概述<\/h2>
Tycoon 2FA是一个中间人钓鱼即服务(Phishing-as-a-Service, PhaaS)平台，自2023年8月开始活跃，专门用于绕过多因素认证(MFA)。该工具包通过窃取会话cookie实现攻击，即使受害者更改了密码，攻击者仍能维持访问权限。<\/p>

2.1 工作流程<\/h3>
Tycoon 2FA钓鱼攻击分为6个阶段：<\/p>

加密货币钱包：<\/h3>
`19NReVFKJsYYCCFLq1uNKYrUqQE2bB4Jwx <\/code><\/pre>`