Tycoon2FA: Neue Evasion-Methode für 2025

Das Tycoon 2FA-Phishing-Kit hat jüngst mehrere fortschrittliche Techniken zur Umgehung gängiger Sicherheitsmaßnahmen integriert. Zu den bemerkenswertesten Neuerungen zählt ein eigens entwickeltes CAPTCHA, das über HTML5-Canvas dynamisch gerendert wird. Zudem kommen unsichtbare Unicode-Zeichen in stark verschleiertem JavaScript zum Einsatz, um statische Analysen zu erschweren. Ergänzt wird das Toolkit durch Anti-Debugging-Skripte, die gezielt darauf ausgelegt sind, forensische Untersuchungen und die Ausführung in Sandbox-Umgebungen zu vereiteln.

Laut einem aktuellen Bericht von Trustwave haben die Hintermänner des Tycoon-2FA-Phishing-Kits ihre Angriffswerkzeuge weiter verfeinert. Die neuen Anpassungen sollen vor allem die Fähigkeit des Kits verbessern, gängige Erkennungssysteme und Endpoint-Security-Lösungen zu umgehen.

Eine der zentralen Neuerungen ist der Einsatz unsichtbarer Unicode-Zeichen zur Tarnung von Binärdaten innerhalb von JavaScript-Code – eine Technik, die erstmals im Februar von den Juniper Threat Labs dokumentiert wurde. Diese Methode erlaubt es, die schädliche Nutzlast wie gewohnt zur Laufzeit zu entschlüsseln und auszuführen, während gleichzeitig sowohl statische Analysen als auch manuelle Untersuchungen erheblich erschwert werden.

Quelle: Trustwave / Tycoon 2FA verwendet unsichtbare Unicode-Zeichen, um JavaScript-Code zu verschlüsseln. Die Verschleierung ist eigentlich recht einfach, aber clever.

Eine weitere Neuerung im Tycoon-2FA-Kit ist der Ersatz von Cloudflare Turnstile durch ein selbst gehostetes CAPTCHA-System, das mithilfe von HTML5-Canvas dynamisch und mit zufälligen Elementen gerendert wird. Diese Maßnahme dürfte vor allem darauf abzielen, einer Erkennung durch Domain-Reputationsdienste zu entgehen und gleichzeitig eine höhere Flexibilität bei der Gestaltung des Seiteninhalts zu gewährleisten.

Als dritte wesentliche Veränderung haben die Entwickler ein Anti-Debugging-Skript integriert, das gezielt nach automatisierten Analysewerkzeugen wie PhantomJS oder Burp Suite sucht. Erkennt das Skript verdächtige Aktivitäten oder schlägt das CAPTCHA fehl – was etwa auf die Präsenz eines Sicherheitsbots hindeuten könnte – wird der Nutzer entweder auf eine sogenannte Lockseite weitergeleitet oder automatisch auf eine legitime Seite wie rakuten.com umgelenkt.

Quelle: Trustwave / Anti-Debugging-Routine der Tycoon 2FA-Phishing-Landingpage.

Zwar sind die eingesetzten Techniken nicht neu, doch in ihrer gezielten Kombination entfalten sie laut Trustwave eine beachtliche Wirkung: Sie erschweren nicht nur die Erkennung durch Sicherheitssysteme erheblich, sondern gefährden auch die Tarnung der gesamten Phishing-Infrastruktur. Im schlimmsten Fall drohen den Angreifern dadurch Abschaltungen, Störungen – und letztlich der Verlust ihrer Operationsbasis.

In einem weiteren, thematisch verknüpften Bericht warnt Trustwave vor einem drastischen Anstieg von Phishing-Angriffen, bei denen manipulierte SVG-Dateien (Scalable Vector Graphics) zum Einsatz kommen. Diese werden zunehmend von Phishing-as-a-Service-Plattformen wie Tycoon2FA, Mamba2FA und Sneaky2FA verbreitet.

Das Cybersicherheitsunternehmen verzeichnete zwischen April 2024 und März 2025 einen Anstieg solcher SVG-basierten Angriffe um beeindruckende 1.800 Prozent – ein klarer Hinweis auf eine strategische Neuausrichtung zugunsten dieses unauffälligen, aber effektiven Dateiformats.

Wie Cyberkriminelle SVG-Dateien für Angriffe missbrauchen – Trustwave warnt vor wachsender Bedrohung

SVG-Dateien (Scalable Vector Graphics) gelten im Webdesign als Standardformat für skalierbare Grafiken und Logos. Doch genau diese Allgegenwärtigkeit macht sie auch für Cyberkriminelle attraktiv. Ihre Fähigkeit, JavaScript-Code einzubetten, eröffnet Angreifern gefährliche Möglichkeiten – eine Tatsache, die laut Trustwave zunehmend ausgenutzt wird.

Cyberkriminelle integrieren schädliche Skripte direkt in SVG-Dateien, die sich beim Öffnen automatisch ausführen können. Die Folge: potenziell gravierende Sicherheitsvorfälle wie unautorisierter Zugriff auf Systeme, Datendiebstahl, Identitätsmissbrauch oder die unbemerkte Weitergabe sensibler Informationen.

Trustwave nennt drei zentrale Risiken, die von manipulierten SVG-Dateien ausgehen:

• Automatisierte Ausführung von eingebetteten Schadcodes – ohne dass der Nutzer aktiv etwas tut.

• Unzureichender Schutz durch gängige Sicherheitslösungen, die solche Bedrohungen oft nicht zuverlässig erkennen.

• Trügerische Sicherheit: Da SVG-Dateien als harmlose Bildformate gelten, unterschätzen viele Nutzer das Risiko.

Dateiformate im Vergleich: Wie gefährlich ist SVG im Phishing-Kontext wirklich?

Um das Risiko von SVG-basierten Phishing-Angriffen realistisch einzuordnen, lohnt sich ein Blick auf die gängigen Alternativen im Arsenal der Angreifer – darunter PDF, DOC und HTML. Der direkte Vergleich dieser Formate offenbart Unterschiede in Technik, Verbreitung und Wirksamkeit bei der Umgehung von Sicherheitsmaßnahmen.

SVG-Dateien: Unterschätzter Gefahrenherd

SVGs (Scalable Vector Graphics) wirken auf den ersten Blick harmlos – schließlich handelt es sich um ein gängiges Grafikformat im Webdesign. Doch gerade diese Unauffälligkeit macht sie so gefährlich. Angreifer können JavaScript in SVG-Dateien einbetten, das beim Öffnen automatisch ausgeführt wird – ohne Zutun des Nutzers. Da viele Sicherheitssysteme SVGs nicht als Bedrohung einstufen, eignen sie sich besonders gut zur Umgehung herkömmlicher Filtermechanismen.

PDF-Dateien: Weit verbreitet, aber stärker kontrolliert

PDFs zählen zu den Klassikern im Phishing – vor allem wegen ihrer breiten Nutzung in Unternehmen und Behörden. Zwar können auch sie schädliche Links oder Skripte enthalten, doch ist meist eine aktive Nutzerinteraktion erforderlich, etwa das Klicken auf eine Schaltfläche. Zudem sind PDF-Dateien häufiger Gegenstand gründlicher Scans durch Sicherheitssoftware, was ihren Erfolg als Phishing-Vektor einschränkt.

DOC-Dateien: Altbewährt mit Makro-Risiken

Word-Dokumente (DOC) werden oft genutzt, um über eingebettete Links Nutzer auf gefälschte Anmeldeseiten zu locken. In Kombination mit überzeugendem Text oder gefälschten Absendern wirken sie auf viele Empfänger glaubwürdig. Kritisch wird es vor allem dann, wenn Makros aktiviert sind – in solchen Fällen kann auch Schadcode ausgeführt werden. Ohne diese Aktivierung bleibt das Risiko jedoch vergleichsweise gering und stark nutzerabhängig.

HTML-Dateien: Mächtig, aber zunehmend durchschaubar

HTML-Anhänge bieten Angreifern die Möglichkeit, direkt im Browser komplexe, oft stark verschleierte Skripte auszuführen – von gefälschten Login-Feldern bis hin zu vollständigen Phishing-Seiten. Trotz ihrer technischen Raffinesse zeigen Nutzer hier zunehmend Vorsicht, da HTML-Anhänge als potenziell gefährlich gelten und viele E-Mail-Systeme sie bereits blockieren oder besonders kennzeichnen.

Fazit:
Während klassische Formate wie PDF, DOC oder HTML nach wie vor im Phishing-Einsatz sind, gewinnen SVG-Dateien aufgrund ihrer Tarnfähigkeit und technischen Eigenschaften spürbar an Bedeutung. Sie kombinieren die Unscheinbarkeit eines Bildformats mit der Angriffskraft aktiver Skriptinhalte – eine Kombination, die sie besonders tückisch macht.

Die Verbreitung von PhaaS-Plattformen und SVG-basiertem Phishing erfordert eine verstärkte Aufmerksamkeit sowie die Notwendigkeit, die Authentizität von Absendern zu überprüfen. Eine effektive Schutzmaßnahme besteht darin, SVG-Anhänge in E-Mail-Gateways zu blockieren oder zu kennzeichnen und Phishing-resistente MFA-Methoden wie FIDO-2-Geräte einzusetzen.

Quelle: Trustwave-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html