Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Tycoon2FA фишинг платформата повторно активна по неодамнешната полициска акција

Објавено: 24.03.2026

Платформата за фишинг како услуга (PhaaS) Tycoon2FA, која беше нарушена од Europol и партнери на 4 март, веќе се врати на претходно забележаните нивоа на активност.

Microsoft ја предводеше техничката акција, која вклучуваше заплена на 330 домени што беа дел од основната инфраструктура на Tycoon2FA, вклучувајќи контролни панели и фишинг страници користени во нападите.

Сепак, нарушувањето предизвикано од органите на прогонот беше краткотрајно, бидејќи CrowdStrike забележа дека сајбер-криминалната услуга се врати на нормални оперативни нивоа во рок од неколку дена.

„Falcon Complete забележа краткорочно намалување на обемот на активности на кампањите на Tycoon2FA по акцијата за гасење, при што дневните обеми на 4 и 5 март 2026 година се намалија на 25% од нивото пред нарушувањето“, се наведува во извештајот на CrowdStrike.

„Сепак, овој обем потоа се врати на нивото пред нарушувањето, при што дневните нивоа на активни санации на компромитирани cloud сметки се вратија на нивоата од почетокот на 2026 година.“

Првпат документирана од Sekoia пред околу две години, Tycoon2FA се појави како PhaaS платформа насочена кон напади врз Microsoft 365 и Gmail сметки, користејќи „adversary-in-the-middle“ механизми кои овозможуваат заобиколување на заштитата со двофакторска автентикација (2FA).

Еден месец подоцна, Trustwave објави дека операторите на Tycoon2FA активно ја подобруваат платформата, додавајќи нови напредни функции и привлекувајќи повеќе сајбер-криминалци да купат пристап.

Tycoon2FA е значаен играч во фишинг сцената, при што Microsoft извести дека генерирал 30 милиони фишинг пораки месечно, што претставува 62% од сите пораки блокирани од технолошкиот гигант.

Според CrowdStrike, Tycoon2FA повторно функционира користејќи во голема мера непроменети техники, тактики и процедури (TTPs), и поддржува различни нелегални активности како компромитирање на деловна е-пошта (BEC), преземање на е-пошта нишки (email thread hijacking), преземање на cloud сметки и малициозни SharePoint линкови.

По акцијата за нарушување, Tycoon2FA беше користена во злонамерни е-пошта кампањи кои се потпираат на малициозни URL адреси и сервиси за скратување линкови, легитимни платформи како алатки за презентации (каде што се злоупотребуваат механизми за пренасочување), како и компромитирани домени.

AI-генерирани лажни веб-страници користени во нападите на Tycoon2FA

Интересно е што дел од старата инфраструктура останала активна, што укажува дека нарушувањето било нецелосно, додека нови фишинг домени и IP адреси биле брзо регистрирани по акцијата на органите на прогонот.

Во однос на активностите по компромитирање, тие вклучуваат креирање правила во inbox, скриени папки за измамнички е-пораки и подготовка за BEC (business email compromise) операции.

На крај, CrowdStrike коментира дека без апсења или физичко запленување, сајбер-криминалците лесно можат да се опорават и да ја заменат погодената инфраструктура. Сѐ додека побарувачката во фишинг екосистемот е висока, мотивот на операторите на PhaaS платформите останува непроменет.

Извори:

  • Bleeping Computer – Tycoon2FA phishing platform returns after recent police disruption Bleeping Computer