Phishing-as-a-service 플랫폼 Tycoon2FA의 업데이트로 위협 증가
Phishing-as-a-service (PhaaS) 플랫폼인 Tycoon2FA는 Microsoft 365와 Gmail 계정의 다중 인증을 우회하는 것으로 알려져 있습니다. 이 플랫폼은 최근에 그 은밀성과 회피 능력을 향상시키는 업데이트를 받았습니다. Tycoon2FA는 2023년 10월에 Sekoia 연구원들에 의해 처음 발견되었으며, 이후로 피싱 키트의 세련성과 효과성을 높이는 중요한 업데이트가 보고되었습니다. Trustwave는 이제 Tycoon 2FA 위협 행위자들이 탐지와 엔드포인트 보안 보호를 우회하는 능력을 강화하는 몇 가지 개선 사항을 추가했다고 보고하고 있습니다.
첫 번째 주요 변경 사항은 JavaScript 내에 이진 데이터를 숨기기 위해 보이지 않는 유니코드 문자를 사용하는 것입니다. 이 전략은 페이로드가 런타임에 정상적으로 디코딩되고 실행되면서 수동(인간) 및 정적 패턴 매칭 분석을 회피할 수 있게 합니다. 두 번째 개발은 Cloudflare Turnstile에서 도메인 평판 시스템에 의한 지문 인식과 플래그 설정을 회피하고 페이지 콘텐츠에 대한 더 나은 사용자 정의 제어를 얻기 위해 HTML5 캔버스를 통해 렌더링되는 자체 호스팅 CAPTCHA로 전환하는 것입니다. 세 번째 주요 변경 사항은 PhantomJS와 Burp Suite와 같은 브라우저 자동화 도구를 감지하고 분석과 관련된 특정 작업을 차단하는 안티 디버깅 JavaScript의 포함되었다는 것입니다. Trustwave는 이러한 회피 기술이 개별적으로 새로운 것은 아니지만 결합될 때 큰 차이를 만들어내며, 탐지 및 분석을 복잡하게 만들어 피싱 인프라를 찾아내고 중단 및 교란으로 이어질 수잇다고 강조했습니다.
요약
- Phishing-as-a-service (PhaaS) 플랫폼인 Tycoon2FA는 Microsoft 365와 Gmail 계정의 다중 인증을 우회하는 것으로 알려져 있으며, 최근에 은밀성과 회피 능력을 향상시키는 업데이트를 받았다.
- Tycoon2FA는 보이지 않는 유니코드 문자를 사용하여 JavaScript 내에 이진 데이터를 숨기는 등의 방법으로 탐지와 엔드포인트 보안 보호를 우회하는 능력을 강화하였다.
- 또한, 도메인 평판 시스템에 의한 지문 인식과 플래그 설정을 회피하고 페이지 콘텐츠에 대한 더 나은 사용자 정의 제어를 얻기 위해 HTML5 캔버스를 통해 렌더링되는 자체 호스팅 CAPTCHA로 전환하였다.
- 세 번째 주요 변경 사항은 PhantomJS와 Burp Suite와 같은 브라우저 자동화 도구를 감지하고 분석과 관련된 특정 작업을 차단하는 안티 디버깅 JavaScript의 포함이다.
- 이러한 변화는 개별적으로는 새로운 것이 아니지만, 결합될 때 큰 차이를 만들어 피싱 인프라를 찾아내고 중단시키는 탐지와 분석을 복잡하게 만든다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.