Com a ajuda das autoridades, a Microsoft acaba de neutralizar o Tycoon2FA, uma plataforma criminosa que alugava kits de phishing capazes de contornar a autenticação dupla. As ferramentas permitiram que muitos hackers invadissem contas bem protegidas.
Uma ferramenta fundamental no arsenal dos cibercriminosos acaba de ser colocada offline. Tycoon2FAuma plataforma de “phishing como serviço”, foi desmantelada pela Europol, com a ajuda da Microsoft, como parte de uma operação policial internacional. Ativa desde pelo menos agosto de 2023, a plataforma disponibilizou um kit de phishing permitindo hackear contas da Microsoft (365, OneDrive, Outlook e SharePoint) e Google (Gmail) imitando suas páginas de login. O kit foi vendido por cerca de US$ 120 por 10 dias através do Telegram, o novo covil dos cibercriminosos, e do Signal.
Leia também: Ataque cibernético contra o Gmail – este ataque de phishing explora uma falha do Google
Como o Tycoon2FA contorna a autenticação dupla
Quando a vítima se conecta, o kit intercepta ambos identificadores e cookies de sessão. Ao mesmo tempo, envia os dados necessários para se conectar à plataforma legítima. O usuário tem a impressão de ter se conectado ao serviço online, fornecendo senhas, identificadores e duplo código de autenticação, sem perceber que hackers irão aproveitar a sessão que acaba de ser aberta. Os códigos “foram retransmitidos através de servidores proxy Tycoon2FA para o serviço de autenticação”explica a Microsoft.
Uma vez na conta, os hackers são rápidos em alterar as senhas. Esta medida exclui o proprietário da sua própria conta. Observe que esse método permitiu que os cibercriminosos ignorar autenticação duplao mecanismo de segurança que bloqueia a maioria dos ataques cibernéticos. Como explica a Trend Micro, que foi a primeira a descobrir o kit, “Os invasores podem então reutilizar esses cookies de sessão para assumir o controle das contas, mesmo quando a autenticação multifator está habilitada”. Relativamente acessível, permitiu que hackers não qualificados e com pouco conhecimento de informática hackeassem contas protegidas por autenticação multifator. Os invasores estão cada vez mais se voltando para “ferramentas direcionadas ao próprio processo de autenticação », analisa a Microsoft.
A plataforma enviou dezenas de milhões de mensagens de phishing todos os meses. A Microsoft percebeu que “As vítimas eram frequentemente atraídas por e-mails de phishing contendo anexos .svg, .pdf, .html ou .docx, muitas vezes com códigos QR ou código JavaScript” malicioso.
O kit Tycoon2FA está implicado em ataques cibernéticos contra quase 100.000 organizações em todo o mundoincluindo administrações, escolas e hospitais, indica a Europol no seu comunicado de imprensa. Mais de 500.000 organizações estão na mira do Tycoon2FA. O kit é responsável por 60% das tentativas de phishing bloqueadas pela Microsoft. Como explica o editor, a ferramenta permitiu que os cibercriminosos “manter seu acesso e acessar informações confidenciais mesmo após redefinir senhas”. A Microsoft atribui o sucesso do Tycoon2FA ao desaparecimento de outros serviços de phishing populares, como o RaccoonO365. Esta temível plataforma de phishing foi colocada offline pela Microsoft no ano passado.
Leia também: Onda de phishing do Google e da Microsoft – uma formidável plataforma criminosa foi descoberta
Microsoft neutraliza plataforma de phishing
Foi na sequência de vários relatórios feitos por investigadores da Trend Micro que as autoridades analisaram as atividades do Tycoon2FA. Para acabar com a plataforma de phishing, a Europol recorreu à Microsoft. Com a ajuda de empresas como Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver e SpyCloud, a Microsoft cuidou de “interrupção técnica” da ferramenta criminosa.
A apreensão de infraestruturas foi orquestrada pela Europol, com o apoio das autoridades policiais na Letónia, Lituânia, Portugal, Polónia, Espanha e Reino Unido. A Europol especifica que 330 domínios “formando a infraestrutura central do serviço criminal, incluindo páginas de phishing e painéis de controle”foram neutralizados por ele. Este é um novo golpe para o ecossistema criminoso, já marcado pelo encerramento do LeakBase, um dos maiores fóruns do mundo dedicado à revenda de informação pirata, ou pela queda da HeartSender, uma rede criminosa que vende ferramentas de phishing a numerosos gangues, alguns meses antes.
No entanto, “o fechamento da plataforma” não significa que a guerra contra o Tycoon2FA acabou, nuance da Trend Micro. Na verdade, os cibercriminosos têm “sempre capaz de se adaptar, reconstruir e migrar para novas infraestruturas”. Além disso, é de esperar que os utilizadores da plataforma procurem “continuar suas atividades” explorando credenciais de sessão e cookies já roubados com a ajuda do kit.
De acordo com dados da Proofpoint, quase todas as empresas (99%) foram alvo de tentativas de controle de contas em 2025. Em 67% dos casos, os hackers tiveram sucesso. Em quase 60% dos ataques bem-sucedidos, as contas visadas foram protegidas por um sistema de autenticação dupla.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.