El Tycoon 2FA, una plataforma de phishing como servicio (PhaaS), ha captado la atención de expertos en ciberseguridad desde su aparición en agosto de 2023. Esta herramienta representa una amenaza significativa, especialmente por su capacidad de evadir las protecciones de autenticación multifactor (MFA), un sistema ampliamente utilizado para proteger cuentas como Microsoft 365 y Gmail. Tycoon 2FA utiliza la técnica de phishing AiTM (adversario en el medio), que le permite recolectar cookies de sesión para saltarse los controles MFA y acceder de forma no autorizada a cuentas y servicios en la nube.
Investigadores del equipo de Proofpoint han advertido que Tycoon 2FA se basa en una infraestructura controlada por ciberdelincuentes para alojar páginas de phishing, utilizando un proxy inverso para interceptar las credenciales ingresadas por las víctimas. Posteriormente, estas credenciales son enviadas al servicio legítimo, generando una solicitud de MFA, pero las cookies de sesión resultantes son transmitidas a los atacantes, quienes pueden acceder a las cuentas comprometidas.
Desde finales de 2023, se han detectado campañas que emplean Tycoon 2FA para robar tokens MFA. Los atacantes utilizan métodos como enlaces maliciosos o archivos PDF con códigos QR enviados por correo electrónico, así como falsos mensajes de voz para redirigir a las víctimas a páginas fraudulentas. Los señuelos más comunes incluyen temas relacionados con bonificaciones salariales o falsas actualizaciones empresariales.
Según los expertos de Proofpoint, los ciberdelincuentes que operan detrás de Tycoon 2FA han empezado a vender páginas de phishing listas para usar a través de Telegram, con precios que comienzan en 120 dólares por diez días de acceso al servicio. Esto facilita que incluso atacantes con poca habilidad técnica puedan llevar a cabo sofisticados ataques de phishing.
En marzo de 2024, se lanzó una versión actualizada del kit Tycoon 2FA, con mejoras significativas en su código JavaScript y HTML, haciéndolo aún más difícil de detectar por los sistemas de seguridad. Plataformas como Evilginx y EvilProxy, que también utilizan proxies inversos, ya están siendo monitoreadas y bloqueadas por los defensores, aunque el uso de herramientas para robar tokens de sesión sigue en aumento entre los actores de phishing y Intermediarios de Acceso Inicial (IAB).
Para contrarrestar amenazas como Tycoon 2FA, los expertos sugieren un enfoque de defensa en profundidad, combinando IA conductual, inteligencia sobre amenazas y concienciación en seguridad. El análisis del comportamiento puede ayudar a identificar páginas de phishing y actividades sospechosas, mientras que una mayor visibilidad de las amenazas emergentes es clave para proteger a los usuarios. Además, educar a los usuarios finales sobre cómo reconocer estos riesgos es esencial para evitar caer en este tipo de ataques.