Tycoon2FA phishing kiti, cihaz kodu kimlik avı saldırılarını destekleyen yeni bir özellik kazanırken Trustifi tıklama izleme bağlantılarını kötüye kullanarak Microsoft 365 hesaplarını hedef alıyor. Mart ayında uluslararası bir kolluk kuvvetleri operasyonuyla geçici olarak durdurulan bu kötü amaçlı platform, kısa sürede yeniden yapılanarak eski faaliyet seviyesine geri döndü. eSentire güvenlik araştırmacılarının tespit ettiği yeni kampanya, OAuth 2.0 cihaz yetkilendirme akışlarını kullanarak kurbanların hesaplarına yetkisiz cihazların kaydedilmesine olanak tanıyor.

Cihaz Kodu Kimlik Avı Nasıl Çalışıyor ve Neden Tehlikeli?

Cihaz kodu kimlik avı, tehdit aktörlerinin hedef hizmet sağlayıcısına bir cihaz yetkilendirme talebi göndermesi ve üretilen kodu kurbana ileterek onu meşru hizmetin giriş sayfasına yönlendirmesiyle işliyor. Kurban, kodu meşru görünen bir sayfaya girdiğinde saldırganın kötü amaçlı cihazı kurbana ait Microsoft 365 hesabına kaydedilmiş oluyor. Saldırgan, bu yöntemle kurbana ait e-postalara, takvime ve bulut dosya depolama alanlarına sınırsız erişim elde ediyor.

Push Security tarafından yapılan bir uyarıya göre, bu tür saldırılar yıl içinde 37 kat artış gösterirken en az on farklı phishing-as-a-service platformu ve özel kit tarafından destekleniyor. Proofpoint tarafından yayınlanan daha yeni bir rapor da taktiğin kullanımında benzer bir artış olduğunu doğruluyor. Tycoon2FA’nın bu yöntemi benimsemesi, cihaz kodu kimlik avının siber suçlular arasında ne kadar popüler hale geldiğinin önemli bir göstergesi olarak değerlendiriliyor.

Abnormal Security’nin bu ay başında doğruladığına göre, Tycoon2FA normal operasyonlarına geri dönerken yeni karartma katmanları ekleyerek gelecekteki müdahale girişimlerine karşı direncini artırdı. Nisan sonunda gözlemlenen bir kampanyada, kitin OAuth 2.0 cihaz yetkilendirme akışlarını kullandığı tespit edildi. eSentire araştırmacılarının belirttiğine göre, saldırı fatura temalı bir kimlik avı e-postasıyla başlıyor ve Trustifi izleme bağlantısı içeriyor.

Saldırı zinciri, Trustifi, Cloudflare Workers ve birkaç karartılmış JavaScript katmanı üzerinden yönlendirme yaparken kurbanı sahte bir Microsoft CAPTCHA sayfasına yönlendiriyor. Kimlik avı sayfası, saldırganın arka ucundan bir Microsoft OAuth cihaz kodu alıyor ve kurbana bunu kopyalayıp ‘microsoft.com/devicelogin’ adresine yapıştırmasını talep ediyor. Kurban kendi tarafında çok faktörlü kimlik doğrulamasını tamamladıktan sonra Microsoft, saldırganın kontrolündeki cihaza OAuth erişim ve yenileme jetonları gönderiyor.

Tycoon2FA phishing kiti, araştırmacılara ve otomatik taramaya karşı kapsamlı koruma mekanizmaları içeriyor. Kit, Selenium, Puppeteer, Playwright, Burp Suite gibi araçları tespit ederken güvenlik satıcılarını, VPN’leri, korumalı alanları, yapay zeka tarayıcılarını ve bulut sağlayıcılarını engelliyor. Ayrıca hata ayıklama zamanlama tuzakları kullanarak analiz ortamlarını tespit ediyor. eSentire araştırmacılarına göre, bir analiz ortamını işaret eden istekler otomatik olarak meşru bir Microsoft sayfasına yönlendiriliyor. Kitin engelleme listesi şu anda 230 satıcı adı içeriyor ve sürekli olarak güncelleniyor.

Kurumlar İçin Korunma Önerileri

eSentire, kurumların bu tür saldırılardan korunması için bir dizi önlem öneriyor. OAuth cihaz kodu akışının gerekli olmadığı durumlarda devre dışı bırakılması, OAuth izinlerinin kısıtlanması ve üçüncü taraf uygulamalar için yönetici onayı zorunluluğu getirilmesi gerekiyor. Sürekli Erişim Değerlendirmesi (CAE) özelliğinin etkinleştirilmesi ve uyumlu cihaz erişim politikalarının uygulanması da alınabilecek önlemler arasında yer alıyor.

Araştırmacılar ayrıca Entra günlüklerinde deviceCode kimlik doğrulaması, Microsoft Authentication Broker kullanımı ve Node.js kullanıcı aracıları için izleme yapılmasını tavsiye ediyor. eSentire, son Tycoon2FA saldırıları için bir dizi tehlike göstergesi (IoCs) yayınlayarak savunmacıların ortamlarını korumalarına yardımcı olmayı hedefliyor.