Phishing-as-a-Service (PhaaS) memberikan penyerang set alat canggih dan templat yang memungkinkan mereka untuk dengan cepat meluncurkan kampanye phishing.
Kenaikan pesat dan evolusi PhaaS mendorong perubahan mendasar dalam ekosistem phishing, menjadikannya ancaman yang semakin kompleks dan canggih. Para pengembang di balik kit phishing ini menginvestasikan sumber daya yang cukup besar untuk penciptaan dan peningkatan berkelanjutan.
Menurut analis ancaman Barracuda, sekitar 30% dari serangan kredensial yang terjadi pada 2024 menggunakan PhaaS, dan diperkirakan angka ini akan meningkat menjadi 50% pada 2025.
Barracuda memantau aktivitas beberapa platform PhaaS terkemuka, salah satunya adalah Tycoon. Penggunaan Tycoon telah tersebar luas sejak Agustus 2023. Kit ini berkembang menjadi Tycoon 2FA dengan kemampuan untuk menghindari otentikasi multi-faktor (MFA), dalam hal ini 2FA, dengan mengumpulkan dan menggunakan cookie sesi Microsoft 365. Versi terbaru dari Tycoon 2FA pertama kali terlihat pada November 2024, dan menampilkan taktik canggih yang dirancang untuk menghalangi, menggagalkan, dan menghambat upaya alat keamanan untuk mengonfirmasi niat jahatnya dan memeriksa halaman webnya.
Taktik-taktik ini meliputi:
- Penggunaan akun email yang sah — kemungkinan telah dikompromikan — untuk meluncurkan serangan
- Kode sumber yang dibuat khusus untuk menghalangi analisis halaman web
- Langkah-langkah untuk memblokir penggunaan skrip keamanan otomatis dan alat pengujian penetrasi
- Mendeteksi penekanan tombol yang mengindikasikan inspeksi web dan kemudian memblokir aktivitas lebih lanjut
- Menonaktifkan menu klik kanan yang bisa mengungkapkan niat sebenarnya dari halaman web
- Memblokir pengguna untuk menyalin teks penting dari halaman web untuk analisis offline
Dalam Sorotan Ancaman ini, kami akan menggali beberapa taktik ini dan melihat bagaimana mereka digunakan untuk menghindari deteksi dan inspeksi.
Evolusi Terbaru Tycoon 2FA
Tycoon 2FA memungkinkan penyerang untuk mencegat dan menghindari langkah-langkah keamanan berlapis yang dirancang untuk melindungi akun. Dengan mengeksploitasi kerentanannya dalam proses 2FA, penyerang dapat memperoleh akses tidak sah ke akun yang seharusnya aman.
Pada awal November 2024, kami mencatat peningkatan penggunaan versi baru dari Tycoon yang lebih tersembunyi dibandingkan dengan edisi sebelumnya dan menggunakan berbagai taktik canggih untuk menghalangi deteksi dan analisis.
Penggunaan Identitas Email yang Sah
Salah satu perubahan signifikan dibandingkan dengan versi sebelumnya dari Tycoon 2FA adalah bahwa email phishing kini dikirimkan dari alamat email yang sah, yang kemungkinan telah dikompromikan.
Taktik Canggih untuk Mencegah Analisis Halaman Phishing
- Kode Sumber yang Menghalangi Selain cara pengiriman email phishing, kami juga memperhatikan perubahan besar pada kode sumber untuk halaman login palsu. Kode ini memulai proses pemuatan sumber daya JavaScript, stylesheet, font, dan meta tag yang digunakan di halaman phishing. Namun, pada versi terbaru Tycoon 2FA, pola tipikal pemanggilan sumber daya JavaScript eksternal, stylesheet, dan meta tag dilewati, dan fungsi skrip baru ditambahkan untuk menghalangi upaya untuk menganalisis halaman web tersebut.
- Deteksi Skrip Keamanan Otomatis Analisis mendalam terhadap kode Tycoon 2FA yang diperbarui juga mengungkapkan langkah-langkah untuk mendeteksi dan memblokir jenis alat atau skrip otomatis yang umumnya digunakan oleh solusi keamanan untuk menentukan apakah kode tersebut berbahaya, seperti alat pengujian penetrasi ‘Burp’. Versi terbaru Tycoon 2FA dapat mendeteksi dan memblokir kombinasi tombol atau pintasan yang sering digunakan oleh pengembang atau tim keamanan untuk memeriksa halaman web, membuatnya lebih sulit bagi analis untuk menyelidiki halaman web untuk kode yang mencurigakan, riwayat browser, dan lainnya.
Apakah Anda sudah mempertimbangkan Barracuda sebagai pilihan solusi keamanan Anda?
Jika tertarik, Anda bisa menghubungi Barracuda Indonesia untuk mendapatkan informasi lebih lanjut. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia untuk penjelasan lebih detail.