El Tycoon 2FA, una plataforma de phishing como servicio (PhaaS), ha captado la atención de expertos en ciberseguridad desde su lanzamiento en agosto de 2023. Esta herramienta representa una amenaza significativa debido a su capacidad para evadir las protecciones de autenticación multifactor (MFA), un sistema habitualmente utilizado para proteger cuentas como Microsoft 365 y Gmail. Tycoon 2FA emplea la técnica de phishing AiTM (adversario en el medio) para recolectar cookies de sesión y eludir así los controles de MFA, permitiendo el acceso no autorizado a cuentas y servicios en la nube.
Investigadores del equipo de Proofpoint han advertido que Tycoon 2FA se apoya en una infraestructura gestionada por ciberdelincuentes para alojar páginas de phishing. Utilizando un proxy inverso, estas páginas interceptan las credenciales ingresadas por las víctimas y las envían al servicio legítimo, generando una solicitud de MFA. Sin embargo, las cookies de sesión resultantes son transmitidas a los atacantes, quienes obtienen acceso a las cuentas comprometidas.
Desde finales de 2023, se han detectado campañas que emplean Tycoon 2FA para robar tokens MFA. Los atacantes usan métodos como enlaces maliciosos, archivos PDF con códigos QR enviados por correo electrónico y falsos mensajes de voz para redirigir a las víctimas a páginas fraudulentas. Los señuelos más comunes incluyen temas relacionados con bonificaciones salariales o falsas actualizaciones empresariales.
Según los expertos de Proofpoint, los ciberdelincuentes que operan detrás de Tycoon 2FA han empezado a vender páginas de phishing listas para usar a través de Telegram. Los precios comienzan en 120 dólares por diez días de acceso al servicio, lo que facilita que incluso atacantes con poca habilidad técnica puedan llevar a cabo sofisticados ataques de phishing.
En marzo de 2024, se lanzó una versión actualizada del kit Tycoon 2FA con mejoras significativas en su código JavaScript y HTML, haciendo que su detección sea aún más difícil para los sistemas de seguridad. Plataformas como Evilginx y EvilProxy, que también emplean proxies inversos, ya están siendo monitoreadas y bloqueadas por los defensores, aunque el uso de herramientas para robar tokens de sesión sigue en aumento entre los actores de phishing y los Intermediarios de Acceso Inicial (IAB).
Para contrarrestar amenazas como Tycoon 2FA, los expertos sugieren un enfoque de defensa en profundidad, combinando IA conductual, inteligencia sobre amenazas y concienciación en seguridad. El análisis del comportamiento puede ayudar a identificar páginas de phishing y actividades sospechosas, mientras que una mayor visibilidad de las amenazas emergentes es clave para proteger a los usuarios. Además, educar a los usuarios finales sobre cómo reconocer estos riesgos es esencial para evitar caer en este tipo de ataques.
