Cyberkriminelle überarbeiten das Phishing-Kit Tycoon 2FA, um der wachsenden Zahl von PhaaS-Angriffen gerecht zu werden

Cyberkriminelle haben in den ersten Monaten dieses Jahres verstärkt auf Phishing-as-a-Service (PhaaS) gesetzt und ihre Angriffsmethoden zunehmend komplexer und schwerer erkennbar gestaltet.

Laut Barracuda Networks wurden zwischen Januar und Februar eine Million PhaaS-Angriffe registriert. Besonders häufig kamen dabei die Tools Tycoon 2FA, EvilProxy und Sneaky 2FA zum Einsatz. Im Februar stieg die Nutzung von Tycoon 2FA deutlich an – dieses Tool wurde in 89 % der erfassten Angriffe verwendet.

Früher erschwerte Tycoon 2FA die Analyse von Phishing-Seiten, indem es schädliche Skripte nutzte, um Tastenkombinationen zu blockieren. Diese Methode wurde inzwischen durch eine ausweichendere Technik ersetzt. Statt schädliche Skripte im Klartext zu speichern, verwendet das Tool nun eine Caesar-Verschlüsselung, um gestohlene Benutzerdaten an einen vom Angreifer kontrollierten Server zu übertragen.

„Das aktualisierte Skript erkennt offenbar den Browsertyp des Opfers, vermutlich um den Angriff entsprechend anzupassen oder Schutzmechanismen zu umgehen“, erklärt Barracuda Networks in einem Blogpost. Zudem enthält das Skript Telegram-Links, die oft zur unbemerkten Weiterleitung gestohlener Daten genutzt werden.

Ein Hinweis auf eine Attacke mit Tycoon 2FA kann die Top-Level-Domain „.ru“ sein. Zudem ist die E-Mail-Adresse des Opfers in der Phishing-URL entweder im Klartext oder Base64-codiert eingebettet.

Auch EvilProxy, ein weiteres beliebtes Hacker-Tool, das sich ohne tiefgehende technische Kenntnisse bedienen lässt, wurde in 8 % der Angriffe identifiziert.

Bild/Quelle: https://depositphotos.com/de/home.html