As autoridades pensaram ter posto fim às atividades de uma das plataformas de phishing mais perigosas do momento, o Tycoon2FA. Em poucos dias, a plataforma, especializada em contornar a autenticação dupla, voltou ao primeiro plano… e está funcionando a todo vapor.
Há algumas semanas, uma grande operação policial, patrocinada pela Europol com o apoio da Microsoft, resultou no encerramento de Tycoon2FAuma plataforma de phishing formidável. A plataforma é especializada na locação de kits capazes de contornar a autenticação dupla em contas Microsoft 365, OneDrive, Outlook, SharePoint e Gmail. Ao interpor um proxy entre o usuário e o serviço, a ferramenta roubou identificadores de sessão e cookies, permitindo que hackers assumissem o controle de uma conta sem precisar interceptar o código de autenticação multifator. A ofensiva levou ao desmantelamento da infraestrutura do Tycoon2FA e à apreensão dos seus 330 domínios.
A trégua durou pouco. Menos de um mês após seu fechamento forçado, o Tycoon2FA está de volta à cena. Depois de observar uma queda repentina na atividade do kit após a operação de 4 de março, os pesquisadores da CrowdStrike registraram rapidamente uma retomada da atividade. O serviço retomou muito rapidamente a velocidade de cruzeiro, apenas alguns dias depois, indicando que a plataforma está longe de estar morta e enterrada.
Leia também: Ataque cibernético russo ao WhatsApp e Signal – uma “vasta campanha global” está em andamento
Um forte retorno para Tycoon2FA
O volume de ataques baseados em ferramentas disponibilizadas pelo Tycoon2FA regressou mesmo ao nível do início de 2026, antes da ação coordenada pela Microsoft e pela Europol. Para reiniciar suas atividades, os cibercriminosos têm reutilizou parte da antiga infraestruturaque não tinha sido completamente cortado pelas autoridades, e complementou-o registando rapidamente novos nomes de domínio e novos endereços IP.
Os ataques actuais baseiam-se nas mesmas tácticas criminosas de antes. De acordo com as investigações da CrowdStrike, os hackers usam links armadilhados na forma de URLs encurtados, sites pré-hackeados, ferramentas de apresentação online e páginas fraudulentas geradas por IA para atingir seus objetivos. As táticas “permaneceram inalteradas após o desmantelamento”
Como sempre, os hackers procuram assuma o controle de caixas de correio profissionais para executar golpes financeiros e invadir contas corporativas na nuvem. Uma vez que as contas de e-mail estejam em suas mãos, eles podem criar golpes mais sofisticados e devastadores. Por exemplo, eles podem se passar por colegas ou gerentes e solicitar o pagamento em uma conta bancária.
A CrowdStrike acredita que, na ausência de prisões ou apreensões de servidores, as operadoras podem voltarconstruir rapidamente sua infraestrutura. É por isso que demorou apenas alguns dias para que as interrupções causadas pela Microsoft e pelas autoridades policiais se tornassem história. Os hackers por trás do Tycoon2FA demonstram “grande adaptabilidade, habilidades técnicas avançadas e perseverança infalível”e muitos hackers continuam a confiar nas ferramentas da plataforma. Portanto, é necessário cuidado.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
CrowdStrike