Tycoon2fa

O kit de phishing Tycoon2FA, que já havia sido interrompido por uma operação internacional de aplicação da lei em março, foi rapidamente reestruturado e voltou a operar em níveis normais. Recentemente, foi identificado em uma campanha que utiliza fluxos de autorização de dispositivo OAuth 2.0 para comprometer contas do Microsoft 365. O ataque de phishing com código de dispositivo envolve o envio de um pedido de autorização de dispositivo ao provedor de serviços, enganando a vítima para que insira um código gerado em uma página de login legítima da Microsoft. Isso permite que o atacante registre um dispositivo malicioso com a conta da vítima, obtendo acesso irrestrito a dados e serviços, como e-mails e armazenamento em nuvem. A Push Security relatou um aumento de 37 vezes nesse tipo de ataque este ano, com suporte de pelo menos dez plataformas de phishing como serviço (PhaaS). O Tycoon2FA também implementou camadas adicionais de ofuscação para dificultar a detecção. Especialistas recomendam desabilitar o fluxo de código de dispositivo OAuth quando não necessário e monitorar logs de autenticação para mitigar esses riscos.

A plataforma de phishing Tycoon2FA, que foi desmantelada em uma operação coordenada pela Europol e Microsoft em 4 de março de 2026, já voltou a operar em níveis normais. A ação resultou na apreensão de 330 domínios que faziam parte da infraestrutura da plataforma, incluindo painéis de controle e páginas de phishing. Apesar da interrupção inicial, a CrowdStrike observou que a atividade da Tycoon2FA retornou rapidamente aos níveis anteriores, com um aumento significativo na quantidade de e-mails de phishing enviados. A plataforma, que se especializa em atacar contas do Microsoft 365 e Gmail, utiliza técnicas de adversário no meio (adversary-in-the-middle) para contornar a autenticação de dois fatores (2FA). Desde sua primeira documentação há dois anos, a Tycoon2FA tem se mostrado um ator significativo no cenário de phishing, gerando cerca de 30 milhões de e-mails de phishing por mês. A operação policial não foi suficiente para desmantelar completamente a infraestrutura, e novas páginas de phishing foram rapidamente registradas. A CrowdStrike alerta que, sem prisões ou apreensões físicas, os cibercriminosos conseguem se recuperar facilmente, mantendo a demanda por serviços de phishing.