Международная правоохранительная операция под координацией Европола пресекла деятельность Tycoon2FA — крупной платформы «фишинг как услуга» (PhaaS), ответственной за десятки миллионов фишинговых сообщений ежемесячно.
В ходе совместной акции, поддержанной также компаниями Microsoft, Trend Micro, Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation и SpyCloud, было изъято и отключено 330 доменов, составлявших основу инфраструктуры преступного сервиса (включая панели управления и фишинговые страницы).
«Техническое пресечение деятельности было инициировано Microsoft при поддержке коалиции частных партнеров, в то время как изъятие инфраструктуры и другие оперативные меры были проведены правоохранительными органами Латвии, Литвы, Португалии, Польши, Испании и Великобритании — всё это координировалось Европолом», — сообщил Европол в среду.
«Расследование началось после обмена разведданными, предоставленными Trend Micro. Европол распространил эту информацию через свои консультативные группы EC3 и оперативные сети, что позволило разработать скоординированную оперативную стратегию».
Tycoon2FA (также известный как Tycoon 2FA) действовал как минимум с августа 2023 года и использовался киберпреступниками для обхода многофакторной аутентификации (MFA) и компрометации учетных записей почти 100 000 организаций по всему миру, включая государственные учреждения, учебные заведения и медицинские организации.
По данным Microsoft, к середине 2025 года Tycoon2FA генерировал десятки миллионов фишинговых писем ежемесячно, что составляло более 60% всех заблокированных фишинговых попыток.
Он функционировал как платформа «атакующий-в-середине» (adversary-in-the-middle), используя обратный прокси-сервер для перехвата учетных данных для входа и сессионных cookie-файлов жертв в режиме реального времени в атаках, нацеленных на клиентов Microsoft и Google.
Однако это позволяло злоумышленникам угонять аутентифицированные сессии и обходить защиту MFA, даже если с точки зрения жертв процесс входа казался успешным.
«Платформа Tycoon2FA позволяла злоумышленникам выдавать себя за доверенные бренды, имитируя страницы входа для таких сервисов, как Microsoft 365, OneDrive, Outlook, SharePoint и Gmail. Она также позволяла использующим ее злоумышленникам устанавливать постоянный доступ и получать конфиденциальную информацию даже после сброса паролей, если активные сессии и токены не были явно отозваны», — сообщила сегодня Microsoft.
«Это работало за счет перехвата сессионных cookie-файлов, генерируемых в процессе аутентификации, одновременно с захватом учетных данных пользователя. Коды MFA затем перенаправлялись через прокси-серверы Tycoon2FA в службу аутентификации».
Продававшийся через Telegram за 120 долларов за 10 дней доступа, Tycoon2FA снизил порог входа для малоопытных преступников, позволяя им масштабно проводить изощренные атаки с обходом MFA.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
