El Phishing-as-a-Service (PhaaS) conocido como Tycoon2FA ha recibido varias actualizaciones que mejoran su capacidad para evadir la detección y las protecciones de seguridad en endpoints, especialmente en cuentas de Microsoft 365 y Gmail.
Kit de phishing Tycoon2FA apunta a Microsoft 365 con nuevos trucos ️
Descubierto en octubre de 2023 por investigadores de Sekoia, este kit de phishing ha evolucionado significativamente, como ahora lo informa Trustwave.
Nuevas mejoras en el kit Tycoon2FA
Una de las mejoras destacadas es el uso de caracteres Unicode invisibles para ocultar datos binarios dentro de archivos JavaScript.
Este truco permite que el payload malicioso se decodifique y ejecute en tiempo de ejecución, evadiendo análisis estáticos y la intervención humana durante la detección.
Otra actualización clave es el cambio de Cloudflare Turnstile a un CAPTCHA autoalojado renderizado mediante HTML5 Canvas, con elementos aleatorios.
Este ajuste mejora el control sobre el contenido de la página y dificulta la detección por sistemas de reputación de dominio.
Además, Tycoon2FA ahora incluye lógica anti-debugging en el JavaScript que detecta herramientas de automatización de navegadores, como PhantomJS y Burp Suite, bloqueando acciones relacionadas con el análisis.
Si se detecta actividad sospechosa o el CAPTCHA falla, el usuario es redirigido a una página legítima o a una página de engaño.
Impacto de las nuevas técnicas de evasión
Si bien las técnicas de evasión, como la ocultación de código malicioso y los CAPTCHA personalizados, no son novedosas por sí solas, combinadas complican significativamente la detección y el análisis del phishing.
Esto hace que sea más difícil identificar la infraestructura de phishing y llevar a cabo interrupciones o takedowns.
El aumento de los archivos SVG maliciosos
En un informe relacionado, Trustwave ha observado un aumento dramático en los ataques de phishing que usan archivos SVG (Scalable Vector Graphics) maliciosos.
La cantidad de ataques de este tipo ha aumentado un 1,800% de abril de 2024 a marzo de 2025, lo que indica un cambio claro hacia este formato de archivo.
Los archivos SVG son a menudo presentados como mensajes de voz, logos o iconos de documentos en la nube, pero también pueden contener código JavaScript que se ejecuta automáticamente cuando el navegador los renderiza.
Este código se ofusca utilizando base64, ROT13, XOR y código basura, lo que reduce las posibilidades de detección.
El código malicioso redirige a los destinatarios a páginas de phishing de Microsoft 365, con el objetivo de robar sus credenciales de cuenta.
Ejemplo de un ataque: Alerta de mensaje de voz de Microsoft Teams
Uno de los casos analizados por Trustwave muestra un falso mensaje de voz de Microsoft Teams con un archivo SVG adjunto, que se presenta como un mensaje de audio.
Al hacer clic en él, se abre un navegador externo que ejecuta JavaScript, redirigiendo al usuario a una página falsa de inicio de sesión de Office 365.
Defensas recomendadas contra ataques PhaaS y SVG maliciosos ️
El aumento de las plataformas PhaaS y el uso de archivos SVG en ataques de phishing requiere una vigilancia constante y la necesidad de verificar la autenticidad del remitente.
Algunas medidas de defensa efectivas incluyen:
- Bloquear o marcar archivos SVG en las pasarelas de correo electrónico.
- Usar métodos de MFA resistentes al phishing, como dispositivos FIDO-2.
La combinación de estas tácticas puede ayudar a mitigar los riesgos asociados con los ataques de phishing más sofisticados y evasivos.