Secondo una nuova ricerca di Barracuda Networks, principale fornitore di soluzioni di sicurezza per una protezione completa dalle minacce complesse, la diffusa piattaforma di Phishing-as-a-Service (PhaaS) Tycoon 2FA è stata aggiornata con una serie di tattiche che rendono più difficile l’individuazione della sua natura malevola e l’analisi delle pagine web fraudolente da parte delle misure di sicurezza. I risultati della ricerca sottolineano come gli sviluppatori di minacce PhaaS stiano investendo risorse significative nella creazione di strumenti e modelli avanzati per consentire ai criminali informatici di mettere in atto agevolmente campagne di phishing complesse e mirate.
I dati confermano la diffusione dell’utilizzo di queste piattaforme: secondo gli esperti di Barracuda, infatti, circa il 30% degli attacchi alle credenziali registrati nel 2024 ha usufruito di kit di PhaaS e si prevede che nel 2025 tale percentuale raggiungerà il 50%.
Tycoon 2FA consente agli aggressori di intercettare e aggirare le misure di sicurezza dell’autenticazione a due fattori (da qui la sigla 2FA, two-factor authentication) raccogliendo e utilizzando i cookie di sessione di Microsoft 365. All’inizio di novembre 2024, gli esperti di Barracuda hanno notato un aumento nell’utilizzo di una nuova versione di Tycoon 2FA, più furtiva rispetto alle precedenti, che utilizza tattiche sofisticate per ostacolare il rilevamento e l’analisi, tra cui:
- L’uso di account di posta elettronica legittimi, potenzialmente compromessi, per lanciare attacchi
- Un codice sorgente creato appositamente per ostacolare l’analisi delle pagine web
- Misure per bloccare l’uso di script di sicurezza automatizzati e strumenti per effettuare i penetration test
- Rilevamento delle sequenze di tasti che corrispondono a comandi di ispezione delle pagine web da parte dei programmatori o dei team di sicurezza e conseguente blocco dell’attività
- Disabilitazione del menù del tasto destro del mouse che potrebbe rivelare l’intento reale delle pagine web
- Impossibilità di copiare i testi più rilevanti della pagina web per analizzarli offline
“Il phishing si è evoluto in un protocollo di attacco complesso e sofisticato che dispone di risorse sempre più consistenti – spiega Deerendra Prasad, associate threat analyst di Barracuda – In questo nuovo ecosistema, i gruppi PhaaS svolgono un ruolo centrale e destinato a crescere. Negli ultimi mesi abbiamo osservato l’utilizzo di Tycoon 2FA in numerose campagne di phishing e prevediamo che gli hacker continueranno a perfezionare le loro tecniche per aggirare le misure di sicurezza tradizionali e contrastare le analisi più avanzate. È essenziale disporre di strategie di difesa multistrato agili e innovative e promuovere una solida cultura della sicurezza per stare al passo con questa minaccia in continua evoluzione”.
