LONDON (IT BOLTWISE) – Eine neue Allianz zwischen den Cyberkriminellen Tycoon2FA und der Hackergruppe Dadsec stellt eine erhebliche Bedrohung für Office 365-Nutzer weltweit dar.
Die jüngste Zusammenarbeit zwischen der Phishing-as-a-Service-Plattform Tycoon2FA und der berüchtigten Hackergruppe Dadsec hat eine neue Dimension in der Welt der Cyberkriminalität eröffnet. Diese Allianz nutzt gemeinsame Infrastrukturen, um die Angriffsfähigkeiten gegen Unternehmen zu verstärken und stellt eine erhebliche Bedrohung für Office 365-Nutzer dar. Die seit August 2023 aktive Plattform Tycoon2FA hat sich mit der Gruppe Storm-1575, auch bekannt als Dadsec, zusammengeschlossen, um ihre Angriffe zu intensivieren.
Die Angriffe basieren auf der sogenannten Adversary-in-the-Middle (AiTM)-Technik, die speziell entwickelt wurde, um Multi-Faktor-Authentifizierungen zu umgehen. Dabei werden Phishing-E-Mails mit schädlichen Anhängen oder eingebetteten Links versendet, die Opfer durch eine komplexe Kette kompromittierter Domains und Umleitungsdienste führen. Diese Methode ermöglicht es den Angreifern, nicht nur Anmeldedaten zu stehlen, sondern auch Sitzungscookies und Authentifizierungstoken zu erfassen, was ihnen einen dauerhaften Zugang ermöglicht, selbst wenn die Opfer ihre Passwörter ändern.
Die technische Raffinesse dieser Angriffe zeigt sich in der Verwendung einzigartiger PHP-Ressourcen wie „res444.php“, „cllascio.php“ und „.000.php“ als Mechanismen zur Bereitstellung von Schadsoftware. Diese Dateien enthalten Base64-codierte Inhalte, die in einem zweistufigen Deobfuskationsprozess entschlüsselt werden, beginnend mit einer Caesar-Verschlüsselung, die um fünf Positionen zurückverschoben wird, gefolgt von einer Standard-Base64-Dekodierung. Der entschlüsselte Inhalt liefert kritische Parameter für die AES-CBC-Entschlüsselung, einschließlich der kodierten Datenlast, Salzwerte für die PBKDF2-Schlüsselableitung, Initialisierungsvektoren und Passwörter, die für eine erfolgreiche Entschlüsselung erforderlich sind.
Die Infrastruktur dieser Kampagne umfasst eine Vielzahl von Phishing-Seiten, die seit Juli 2024 mit der Tycoon2FA-Kampagne in Verbindung stehen. Trustwave-Analysten haben ein schnell wachsendes Netzwerk identifiziert, das Tausende von Phishing-Seiten umfasst. Diese Seiten teilen sich einzigartige HTML-Body-Hashes und verwenden benutzerdefinierte Cloudflare-Turnstile-Herausforderungen, um sich vor automatisierten Analysen zu schützen. Darüber hinaus wurden erweiterte Anti-Analyse-Funktionen implementiert, die auf Penetrationstests und Tastenanschlagserkennung im Zusammenhang mit Webinspektionen reagieren.
Die Auswirkungen dieser Kampagne gehen über den einfachen Diebstahl von Anmeldedaten hinaus. Die AiTM-Fähigkeiten ermöglichen es den Angreifern, Sitzungscookies und Authentifizierungstoken zu erfassen, was ihnen einen dauerhaften Zugang ermöglicht, selbst wenn die Opfer ihre Passwörter ändern. Diese Bedrohung erfordert eine erhöhte Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen, um die Integrität sensibler Daten zu schützen.
Die technische Komplexität der Tycoon2FA-Infektionskette zeigt sich in der Verwendung von JavaScript-basierten Entschlüsselungsroutinen, die in den schädlichen PHP-Dateien eingebettet sind. Diese Dateien enthalten Base64-codierte Inhalte, die in einem zweistufigen Deobfuskationsprozess entschlüsselt werden, beginnend mit einer Caesar-Verschlüsselung, die um fünf Positionen zurückverschoben wird, gefolgt von einer Standard-Base64-Dekodierung. Der entschlüsselte Inhalt liefert kritische Parameter für die AES-CBC-Entschlüsselung, einschließlich der kodierten Datenlast, Salzwerte für die PBKDF2-Schlüsselableitung, Initialisierungsvektoren und Passwörter, die für eine erfolgreiche Entschlüsselung erforderlich sind.
Die Kampagne nutzt eine Vielzahl von Phishing-Seiten, die seit Juli 2024 mit der Tycoon2FA-Kampagne in Verbindung stehen. Trustwave-Analysten haben ein schnell wachsendes Netzwerk identifiziert, das Tausende von Phishing-Seiten umfasst. Diese Seiten teilen sich einzigartige HTML-Body-Hashes und verwenden benutzerdefinierte Cloudflare-Turnstile-Herausforderungen, um sich vor automatisierten Analysen zu schützen. Darüber hinaus wurden erweiterte Anti-Analyse-Funktionen implementiert, die auf Penetrationstests und Tastenanschlagserkennung im Zusammenhang mit Webinspektionen reagieren.
Die Auswirkungen dieser Kampagne gehen über den einfachen Diebstahl von Anmeldedaten hinaus. Die AiTM-Fähigkeiten ermöglichen es den Angreifern, Sitzungscookies und Authentifizierungstoken zu erfassen, was ihnen einen dauerhaften Zugang ermöglicht, selbst wenn die Opfer ihre Passwörter ändern. Diese Bedrohung erfordert eine erhöhte Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen, um die Integrität sensibler Daten zu schützen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
SAP BTP AI Solution Adoption and Consumption Advisor (f/m/d)
Senior IT-Sicherheitsmanager (m/w/d) – Schwerpunkt KI und Cloud Security
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Tycoon2FA und Dadsec: Neue Bedrohung für Office 365-Nutzer" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Tycoon2FA und Dadsec: Neue Bedrohung für Office 365-Nutzer" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Tycoon2FA und Dadsec: Neue Bedrohung für Office 365-Nutzer« bei Google Deutschland suchen, bei Bing oder Google News!