PhishingHackerangriffeCloud-Sicherheit

Tycoon2FA zurück: Phishing-Kit nutzt Device-Code-Angriffe gegen Microsoft 365

Von CyberDeutsch Redaktion
Tycoon2FA zurück: Phishing-Kit nutzt Device-Code-Angriffe gegen Microsoft 365
Zusammenfassung

Die Tycoon2FA-Phishing-Kampagne zeigt, wie schnell cyberkriminelle Operationen nach Strafverfolgungsmaßnahmen wiedererstarken. Obwohl internationale Behörden die Plattform im März erfolgreich störten, wurde die Infrastruktur rasch wieder aufgebaut und ist mittlerweile zu normalen Aktivitätsleveln zurückgekehrt – nun mit gefährlicheren Angriffsmustern. Die Bedrohung hat sich dabei erheblich verschärft: Tycoon2FA nutzt jetzt sogenannte Device-Code-Phishing, eine ausgefeilte Technik, die Microsoft-365-Konten ohne traditionelle Passwort-Abfragen kompromittiert. Dabei werden Nutzer durch manipulierte E-Mails mit getarnten Links dazu verleitet, Autorisierungscodes einzugeben, die Angreifern vollständigen Zugriff auf E-Mail, Kalender und Cloud-Speicher gewähren. Deutsche Unternehmen und Behörden sind besonders gefährdet, da Microsoft 365 weit verbreitet ist und Device-Code-Phishing weltweit um das 37-fache gestiegen ist. Die Raffinesse des Angriffs liegt in mehrschichtigen Verschleierungsmechanismen und erweiterten Schutzmaßnahmen gegen Sicherheitsforschung, was Erkennung erheblich erschwert. Für deutsche Organisationen ist dies ein dringendes Signal, ihre Microsoft-365-Sicherheitsrichtlinien zu überprüfen und proaktive Schutzmaßnahmen zu implementieren.

Das Tycoon2FA-Phishing-Kit hat sich als bemerkenswert widerstandsfähig erwiesen. Nachdem Ermittler die ursprüngliche Plattform im März stilllegten, bauten die Operatoren das System auf neuer Infrastruktur wieder auf — und setzten direkt auf Verbesserungen. Sicherheitsforscher von Abnormal Security bestätigten im April, dass Tycoon2FA bereits wieder auf Normalverdacht operiert und zusätzliche Verschleierungsschichten integriert hat, um künftige Störungen abzuwehren.

Die neue Angriffsmethode nutzt OAuth 2.0 Device Authorization Flows aus. Dabei versendet der Angreifer zunächst eine Geräteautorisierungsanfrage und leitet den generierten Code an das Opfer weiter — getarnt als legitime Microsoft-Login. Sobald das Opfer den Code eingeben hat, registriert der Angreifer ein rogue device in seinem Microsoft 365-Konto und erhält vollständigen Zugriff auf E-Mails, Kalender und Cloud-Speicher.

Essentire-Forscher dokumentierten den genauen Ablauf: Ein Invoice-Phishing-E-Mail verlinkt auf eine Trustifi-Tracking-URL. Diese leitet das Opfer durch mehrere Schichten (Trustifi, Cloudflare Workers, obfuskiertes JavaScript) auf eine gefälschte Microsoft-CAPTCHA-Seite weiter. Die Seite präsentiert einen OAuth Device Code und weist das Opfer an, diesen auf microsoft.com/devicelogin einzugeben. Nach Bestätigung der Multi-Faktor-Authentifizierung erhält der Angreifer OAuth-Token.

Die Tycoon2FA-Infrastruktur schützt sich durch ausgefeilte Anti-Analyse-Maßnahmen: Sie blockiert 230 bekannte Security-Vendor-Namen, erkennt Selenium, Puppeteer, Playwright und Burp Suite, sperrt VPNs und Sandboxes und nutzt Debugger-Timing-Traps gegen Forscher.

Wie der Angreifer Trustifi — eine legitime E-Mail-Security-Plattform von Microsoft und Google — ausnutzt, bleibt unklar. Dies deutet auf eine mögliche Kompromittierung oder Missbrauch hin.

Experten von Push Security warnen, dass Device-Code-Phishing-Angriffe 2024 um das 37-Fache zugenommen haben, unterstützt durch mindestens zehn verschiedene Phishing-as-a-Service-Plattformen. Tycoon2FA bestätigt diesen Trend.

Zum Schutz empfehlen Sicherheitsforscher: Device-Code-Flows deaktivieren, OAuth-Berechtigungen beschränken, Admin-Genehmigung für Drittanwendungen erzwingen, Continuous Access Evaluation aktivieren und Entra-Logs überwachen. eSentire veröffentlichte zudem Indikatoren (IoCs) für die neuesten Tycoon2FA-Angriffe.

Ähnliche Artikel