Recenti analisi condotte da Barracuda Research evidenziano cambiamenti significativi nel panorama del phishing a seguito della chiusura di Tycoon 2FA, una della principali piattaforme di phishing-as-a-service (PhaaS), e la rapida diffusione di nuove tecniche di attacco. Di seguito, i principali punti emersi.
Tycoon 2FA: smantellato ma non scomparso
Lo smantellamento della piattaforma Tycoon 2FA, avvenuto all’inizio di marzo grazie a un’operazione internazionale, ha causato un grave contraccolpo, che ha ridotto l’attività di questo kit di phishing del 77%. Prima di allora, Tycoon 2FA era responsabile di oltre 9 milioni di attacchi al mese. Tuttavia, altri attori sono rapidamente intervenuti per accaparrarsi la quota di mercato di Tycoon, riorganizzandosi e attingendo dagli strumenti, le tecniche e le capacità di cui si serviva: Mamba 2FA è diventata la piattaforma di phishing dominante, con attacchi raddoppiati fino a 15 milioni al mese; EvilProxy è salita a circa 4 milioni di attacchi, mentre Sneaky 2FA ha triplicato la propria attività, raggiungendo quasi i 2 milioni. Va sottolineato però che, nonostante il blocco, Tycoon 2FA è ancora responsabile di oltre 2 milioni di attacchi al mese.
Secondo gli esperti di Barracuda, questa persistenza è dovuta a diversi fattori. Innanzitutto, non tutti gli elementi della piattaforma sono stati dismessi, consentendo a versioni del codice clonate e modificate di continuare a circolare. Gli autori degli attacchi oggi riutilizzano e adattano sempre più spesso anche il codice di phishing, trattando gli ecosistemi PhaaS quasi come ambienti open source, dove gli strumenti si evolvono e migrano. Inoltre, le infrastrutture residue – come i domini attivi e l’hosting di backup – consentono alle campagne su piccola scala di persistere senza essere individuate. Non solo: i moderni framework di phishing includono una ridondanza integrata, che consente una rapida reimplementazione dopo un’interruzione. Infine, i dati di sessione e i token rubati possono mantenere l’accesso non autorizzato anche dopo che l’infrastruttura è stata smantellata, e le organizzazioni possono rimanere compromesse anche una volta che la campagna di phishing è terminata.
La nuova frontiera: il phishing tramite codice dispositivo su larga scala
Allo stesso tempo, gli hacker stanno adottando tecniche sempre più sofisticate. Il phishing del codice dispositivo si è affermato come una minaccia in rapida crescita, con 7 milioni di attacchi rilevati in sole quattro settimane. Questo metodo è stato industrializzato tramite strumenti di phishing-as-a-service, come il kit EvilTokens, e sfrutta i flussi di autenticazione legittimi utilizzati da servizi quali Microsoft 365 ed Entra ID per ottenere un accesso persistente e autorizzato.
L’autenticazione tramite codice dispositivo consente agli utenti di accedere a un dispositivo inserendo un breve codice su un altro device affidabile e viene spesso utilizzata per strumenti con interfacce limitate, come televisori, stampanti o strumenti con interfaccia a riga di comando. In genere, gli aggressori richiedono un codice dispositivo reale a Microsoft e poi inviano alle vittime un’esca di phishing che le induce a inserire il codice in una pagina di accesso legittima, come “microsoft.com/devicelogin”. Quando la vittima completa l’autenticazione, l’aggressore riceve token di accesso e di aggiornamento OAuth validi.
Questo approccio presenta diversi vantaggi rispetto al phishing tradizionale, tra cui:
Utilizza URL autentici, rendendo più difficile il rilevamento, mentre il phishing tradizionale richiede un sito web falso convincente, che i filtri delle e-mail possono individuare facilmente.
Questo metodo aggira l’autenticazione a più fattori e le policy di accesso condizionale, poiché è la vittima stessa ad autorizzare il nuovo dispositivo.
Consente un accesso continuativo per giorni o settimane grazie ai token di aggiornamento.
Sfrutta la familiarità degli utenti con le procedure di collegamento dei dispositivi.
Consente di dirottare le sessioni in modo invisibile senza attivare alcun allarme, rendendo così possibile il movimento laterale.
Un attacco di phishing tramite codice dispositivo andato a buon fine può consentire quindi un accesso prolungato agli ambienti di posta elettronica e di gestione delle identità nel cloud senza che sia necessario rubare la password.
Saiga 2FA: l’evoluzione dei kit di phishing in piattaforme di attacco configurabili
Barracuda Research ha inoltre individuato nuove campagne che coinvolgono il kit di phishing Saiga 2FA, uno strumento di tipo “Adversary-in-the-Middle” (AitM) poco diffuso ma estremamente elusivo, progettato per aggirare l’autenticazione multifattoriale e rubare i cookie di sessione dagli utenti di posta elettronica aziendale. Ciò che rende Saiga 2FA particolarmente pericoloso è la sua architettura dinamica basata sul web: fornisce pagine di phishing come applicazioni web a tutti gli effetti, con contenuti generati in tempo pressoché reale utilizzando JavaScript. Inoltre, Saiga utilizza un file di configurazione incorporato nell’applicazione web, che consente agli aggressori di personalizzare il flusso di phishing, compresa la modifica del tema di attacco durante la sessione.
Le tattiche elusive di Saiga includono l’uso di testo segnaposto Lorem Ipsum nei metadati, che rende più difficile per i sistemi di rilevamento segnalare i contenuti dannosi. Il kit integra inoltre uno strumento chiamato FM Scanner, che consente agli hacker di estrarre e analizzare i dati delle caselle di posta per utilizzarli in campagne successive. Infine, il kit fornisce una dashboard centralizzata e basata sul web per la gestione del ciclo di vita delle campagne, offrendo funzionalità avanzate come la configurazione dei domini, il filtro del traffico, la registrazione e l’automazione, distinguendosi dai kit di phishing più semplici che in genere si affidano a sistemi di logging di base come Telegram.
