Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Операција предводена од Europol го урна Tycoon 2FA – phishing-as-a-service поврзан со 64.000 напади

Објавено: 06.03.2026

Tycoon 2FA, еден од позначајните phishing-as-a-service (PhaaS) алатки кој им овозможуваше на сајбер-криминалците да спроведуваат adversary-in-the-middle (AitM) напади за масовно крадење на кориснички податоци, беше демонтиран од коалиција на органи за спроведување на законот и безбедносни компании.

Овој фишинг-комплет базиран на претплата, кој првпат се појави во август 2023 година, беше опишан од Europol како една од најголемите фишинг операции во светот. Комплетот се продавал преку Telegram и Signal по почетна цена од 120 долари за 10 дена или 350 долари за едномесечен пристап до веб-административен панел. Главниот развивач на Tycoon 2FA наводно е Saad Fridi, за кого се смета дека се наоѓа во Pakistan.

Административниот панел служел како центар за конфигурирање, следење и подобрување на фишинг кампањите. Тој содржел подготвени шаблони, датотеки со прилози за вообичаени мамки, конфигурација на домени и хостинг, логика за пренасочување и следење на жртвите. Операторите можеле да одредат и како ќе се испраќа злонамерната содржина преку прилози, како и да ги следат валидните и невалидните обиди за најава.

Собраните информации – како кориснички имиња и лозинки, MFA кодови и session cookies – можеле директно да се преземат од панелот или да се испраќаат на Telegram за речиси моментално следење.

„Ова им овозможуваше на илјадници сајбер-криминалци тајно да пристапуваат до е-пошта и cloud сервиси,“ соопшти Europol. „Во голем обем, платформата генерирала десетици милиони фишинг мејлови секој месец и овозможила неовластен пристап до речиси 100.000 организации ширум светот, вклучувајќи училишта, болници и јавни институции.“

Како дел од координираната акција, 330 домени кои биле основа на криминалната инфраструктура – вклучувајќи фишинг страници и контролни панели – се исклучени.

Компанијата Intel 471 го опиша Tycoon 2FA како „опасен“, наведувајќи дека комплетот е поврзан со повеќе од 64.000 фишинг инциденти и десетици илјади домени, при што се генерирале десетици милиони фишинг мејлови месечно.

Според Microsoft, која ги следи операторите на оваа услуга под името Storm-1747, Tycoon 2FA станал најраспространетата платформа забележана од компанијата во 2025 година. Поради тоа, во октомври 2025 биле блокирани повеќе од 13 милиони злонамерни мејлови поврзани со оваа криминална услуга.

Вкупно, Tycoon 2FA учествувал во околу 62% од сите фишинг обиди блокирани од Microsoft до средината на 2025 година, вклучувајќи повеќе од 30 милиони мејлови во еден месец. Услугата се поврзува со приближно 96.000 различни фишинг жртви ширум светот од 2023 година, од кои повеќе од 55.000 се корисници на Microsoft, додаде технолошкиот гигант.

Временска линија на еволуцијата на Tycoon 2FA (Извор: Point Wild)

Географската анализа на податоците од логовите на жртвите, спроведена од SpyCloud, покажува дека United States има најголема концентрација на идентификувани жртви (179.264), по што следуваат United Kingdom (16.901), Canada (15.272), India (7.832) и France (6.823).

„Огромното мнозинство од таргетираните сметки биле управувани од компании (enterprise-managed) или биле поврзани со платени домени, што ја зајакнува заклучокот дека Tycoon 2FA првенствено е насочен кон деловни средини, а не кон индивидуални кориснички сметки,“ соопшти сајбер-безбедносната компанија SpyCloud.

Податоците од Proofpoint покажуваат дека Tycoon 2FA бил одговорен за најголем обем на AiTM фишинг закани. Компанијата за безбедност на е-пошта изјави дека само во февруари 2026 година забележала повеќе од три милиони пораки поврзани со овој фишинг комплет.

Trend Micro, која беше еден од партнерите од приватниот сектор во операцијата, истакна дека PhaaS платформата имала околу 2.000 корисници.

Кампањите што го користеле Tycoon 2FA неселективно таргетирале речиси сите сектори, вклучувајќи образование, здравство, финансии, невладини организации и владини институции. Фишинг мејловите испраќани преку овој комплет достигнувале повеќе од 500.000 организации месечно ширум светот.

„Платформата Tycoon 2FA им овозможуваше на напаѓачите да се претставуваат како доверливи брендови со имитирање на страници за најава за услуги како Microsoft 365, Microsoft OneDrive, Microsoft Outlook, Microsoft SharePoint и Gmail,“ соопшти Microsoft.

„Исто така им овозможуваше на напаѓачите што ја користат оваа услуга да одржат постојан пристап (persistence) и да пристапат до чувствителни информации дури и по ресетирање на лозинките, освен ако активните сесии и токени не бидат експлицитно поништени. Ова функционираше така што се пресретнуваа session cookies создадени за време на процесот на автентикација, додека истовремено се прибираа корисничките податоци за најава. MFA кодовите потоа се пренесуваа преку прокси-серверите на Tycoon 2FA до вистинската услуга за автентикација.“

Комплетот користел и техники како следење на притисоци на тастатура (keystroke monitoring), anti-bot филтри, browser fingerprinting, силна обфускација на кодот, самостојно хостирани CAPTCHA, custom JavaScript, како и динамични лажни страници (decoy pages) за да ги избегне системите за детекција.

Друг важен аспект е користењето на поширок спектар на top-level домени (TLD) и краткотрајни fully qualified domain names (FQDN) за хостирање на фишинг инфраструктурата на Cloudflare. Овие FQDN домени често траеле само од 24 до 72 часа, што било намерна стратегија за да се отежни откривањето и да се спречи создавање сигурни block-листи.

Според Microsoft, успехот на Tycoon 2FA во голема мера се должи на многу реалистично имитирање на легитимните процеси за автентикација, што им овозможувало тивко да пресретнуваат кориснички податоци и сесиски токени.

Дополнително, клиентите на Tycoon 2FA користеле техника наречена ATO Jumping, при што компромитирана е-пошта се користи за испраќање на Tycoon 2FA линкови и за понатамошни обиди за преземање на други сметки.

„Со оваа техника, е-поштата изгледа како автентично да доаѓа од доверлив контакт на жртвата, што значително ја зголемува веројатноста за успешна компромитација,“ истакна Proofpoint.

Фишинг комплетите како Tycoon се дизајнирани да бидат флексибилни, така што можат да ги користат помалку технички искусни напаѓачи, но истовремено да нудат напредни можности за поискусни оператори.

„Во 2025 година, 99% од организациите доживеале обиди за преземање на кориснички сметки (account takeover), а 67% имале успешен напад,“ изјави Selena Larson, истражувач за закани во Proofpoint, во изјава споделена со The Hacker News. „Од овие случаи, 59% од преземените сметки имале активиран MFA. Иако не сите овие напади се поврзани со Tycoon MFA, ова покажува колку големо влијание има AiTM фишингот врз компаниите.“

„Овие сајбер-напади што овозможуваат целосно преземање на сметки можат да доведат до катастрофални последици, вклучувајќи ransomware напади или губење на чувствителни податоци. Бидејќи напаѓачите сè повеќе се фокусираат на идентитетот како цел, добивањето пристап до корпоративни е-пошта сметки често е првиот чекор во синџирот на напад кој може да има сериозни последици.“ 🔐

Извори:

  • The Hacker News – Europol-Led Operation Takes Down Tycoon 2FA Phishing-as-a-Service Linked to 64,000 Attacks The Hacker News