Фишинговая платформа Tycoon2FA, ликвидацию которой в начале марта анонсировал Европол, практически полностью восстановила свою активность. Несмотря на масштабное изъятие доменов и участие крупных технологических компаний, злоумышленники сумели оперативно перезапустить инфраструктуру и вернуться к прежним объемам фишинговых кампаний.
Операция Европола против Tycoon2FA: чего удалось достичь
Координируемая Европолом операция была нацелена на дестабилизацию экосистемы фишинг как услуга (Phishing-as-a-Service, PhaaS), которую представляет Tycoon2FA. При технической поддержке Microsoft правоохранительные органы Латвии, Литвы, Португалии, Польши, Испании и Великобритании изъяли 330 доменов, использовавшихся как панели управления, фишинговые лендинги и иные элементы преступной инфраструктуры.
По данным, проанализированным компанией CrowdStrike, сразу после операции объем фишинговых рассылок Tycoon2FA 4–5 марта сократился примерно до 25% от обычного уровня. Однако уже через несколько дней активность вернулась к значениям, сопоставимым с показателями начала года, что демонстрирует высокую устойчивость PhaaS‑платформ к точечным инфраструктурным ударам.
Tycoon2FA: фишинг как услуга и обход двухфакторной аутентификации
Платформа Tycoon2FA работает по коммерческой модели PhaaS, когда злоумышленники фактически «арендуют» готовую фишинговую инфраструктуру. Основные цели — облачные аккаунты Microsoft 365 и Gmail, широко используемые в бизнес‑среде и потому представляющие особую ценность для атакующих.
Adversary-in-the-middle (AitM): перехват сессий и обход MFA
Ключевая особенность Tycoon2FA — использование схемы adversary-in-the-middle (AitM). Пользователь перенаправляется на поддельную страницу входа, визуально практически не отличимую от оригинала. Запросы при этом проксируются через сервер злоумышленников, что позволяет:
— перехватывать логины и пароли;
— получать сессионные cookie после успешной авторизации;
— фактически обходить многофакторную аутентификацию (MFA), поскольку дальнейшие действия атакующий выполняет уже с валидной сессией жертвы.
По данным Microsoft, на пике активности Tycoon2FA генерировала около 30 млн фишинговых писем в месяц и была связана примерно с 62% всех фишинговых сообщений, заблокированных защитными системами компании. Это делает платформу одним из наиболее заметных игроков на рынке фишинг‑услуг.
Новая волна атак Tycoon2FA: BEC, SharePoint и ИИ‑генерация контента
Отчет CrowdStrike показывает, что тактика Tycoon2FA практически не изменилась после операции Европола. Платформа по‑прежнему активно используется для:
— компрометации облачных учетных записей;
— проведения BEC‑атак (business email compromise) с захватом деловой переписки;
— перехвата существующих цепочек писем (thread hijacking);
— распространения вредоносных ссылок через SharePoint и другие облачные сервисы.
В новых кампаниях операторы Tycoon2FA широко задействуют:
— сокращатели ссылок для сокрытия истинного домена;
— злоупотребление легитимными онлайн‑сервисами (например, платформами для презентаций и совместной работы);
— использование скомпрометированных доменов, что усложняет фильтрацию по репутации;
— ИИ‑генерацию фальшивых веб‑страниц, повышающую реалистичность фишинговых лендингов и снижающую вероятность их визуального распознавания пользователем.
Почему Tycoon2FA устояла: ограничения инфраструктурных операций
Аналитики CrowdStrike отмечают, что часть старой инфраструктуры Tycoon2FA осталась незатронутой и продолжала работать на протяжении всей операции. Параллельно операторы быстро зарегистрировали новые домены и IP‑адреса, компенсировав потерянные ресурсы. В результате изъятие 330 доменов оказалось временным и частичным ударом по сервису.
Ситуация иллюстрирует ключевую проблему борьбы с PhaaS‑платформами: без арестов операторов и физического изъятия серверов злоумышленники могут достаточно быстро восстановить инфраструктуру, опираясь на автоматизацию регистрации доменов, распределенный хостинг и анонимные платежные схемы. Пока спрос на фишинговые услуги остается высоким, стимулов прекращать деятельность у операторов практически нет.
Для организаций эта история — напоминание, что даже масштабные операции правоохранительных органов не снимают необходимость в собственной кибергигиене. Использование фишинг‑устойчивых методов аутентификации (например, FIDO2‑ключей), жестких политик доступа к облачным сервисам, постоянного мониторинга аномальной активности, обучения сотрудников распознаванию фишинга и проверки ссылок перед переходом являются критически важными мерами. Усиление защиты на стороне компаний и пользователей — единственный способ снизить эффективность таких платформ, как Tycoon2FA, и сделать их бизнес-модель менее привлекательной для киберпреступников.
