Die Stärke von Tycoon 2FA lag in der Umgehung der Mehr-Faktor-Authentifizierung. Anders als klassische Phishing-Kits, die nur statische Passwörter abgreifen, reichte die Plattform die echten Anmeldeseiten von Microsoft 365 oder Google an die Opfer durch. Gaben diese ihre Zugangsdaten und MFA-Codes in den vorgeschalteten Proxy ein, leitete Tycoon 2FA sie an den legitimen Dienst weiter, um die Anmeldung abzuschließen – und fing dabei die zurückgesendeten Authentifizierungstoken ab.

“Im Gegensatz zu herkömmlichen Phishing-Kits, die einfach statische Passwörter stehlen, leitete Tycoon 2FA Authentifizierungsabfragen in Echtzeit weiter, um aktive Sitzungstoken und Cookies zu erfassen”, erklärte Cloudflare in einer Untersuchung zu der Zerschlagung. Dieser Schritt habe es Angreifern ermöglicht, eine vollständig authentifizierte Sitzung zu übernehmen, wodurch SMS-Codes, Authenticator-Apps und Push-Benachrichtigungen wirkungslos würden. Die gestohlenen Sitzungstoken ließen sich anschließend in den Browser des Angreifers importieren, um das Konto des Opfers zu kontrollieren.

Laut Cloudflare wurde Tycoon 2FA häufig für Business E-Mail Compromise (BEC) eingesetzt. Über gekaperte Sitzungstoken nisteten sich Angreifer in Unternehmens-Postfächern ein, beobachteten interne Kommunikation und Finanzabläufe und konnten von kompromittierten Konten aus glaubwürdig wirkende Rechnungen an Geschäftspartner versenden.

Steven Masada, Assistant General Counsel der Digital Crimes Unit von Microsoft, schreibt in einem Blogbeitrag, dass Tycoon 2FA seit seinem Bestehen mit schätzungsweise 96.000 verschiedenen Phishing-Opfern in Verbindung steht, darunter mehr als 55.000 Microsoft-Kunden.

Der Dienst tauchte nach Angaben von Proofpoint, einem der beteiligten Partner, erstmals 2023 auf und wurde über Telegram verkauft, anfangs über den Kanal “Saad Tycoon Group”. Für rund 120 US-Dollar konnten Angreifer die Plattform zeitlich begrenzt nutzen, um schnell eine wirksame Phishing-Kampagne aufzusetzen.

Neben dem MFA-Bypass trug vor allem die einfache Bedienung zur Popularität bei. Selena Larson, Threat Researcher bei Proofpoint, sagt gegenüber Dark Reading, die Plattform sei regelmäßig aktualisiert worden und habe Funktionen geboten, die selbst ungeübten Angreifern den Einstieg erleichterten. Hinzu kämen Techniken gegen die Analyse wie Verschleierung, starke Filterung und CAPTCHAs, die Forschern und Sandboxes die Nachverfolgung erschwerten. Durch die häufigen Code-Aktualisierungen mussten Sicherheitsforscher ihre Erkennung laufend anpassen. Vergleichbare MFA-Umgehungen bieten laut dem Bericht auch andere Plattformen wie “VoidProxy” und das neuere Werkzeug “Starkiller”.

Cloudflare, Proofpoint und weitere Beteiligte raten Organisationen, auf phishing-resistente MFA-Verfahren umzusteigen, etwa auf FIDO2-Hardwareschlüssel oder Passkeys. Larson zufolge lässt sich kaum beziffern, wie viele Unternehmen solche Maßnahmen während der Laufzeit von Tycoon 2FA umgesetzt haben, doch insgesamt scheine die Verbreitung phishing-resistenter MFA zuzunehmen.

Trend Micro, ebenfalls an der Aktion beteiligt, betont, dass die Arbeit nicht abgeschlossen sei: Betreiber seien dafür bekannt, sich anzupassen, neu aufzubauen und auf neue Infrastruktur auszuweichen. Bekannte und mutmaßliche Nutzer könnten ihre Aktivitäten fortsetzen, und zuvor gestohlene Zugangsdaten und Sitzungs-Cookies seien weiterhin im Umlauf. Trend Micro und weitere Partner wollen daher die Aktivität von Tycoon 2FA weiter beobachten. Zu den beteiligten Partnern zählten zudem Coinbase, Intel471, die Shadowserver Foundation und SpyCloud.