Tycoon 2FA 是一款知名的钓鱼即服务(PhaaS)工具集,它允许网络犯罪分子大规模实施中间人(AitM)式凭证窃取攻击。如今,该平台已被多国执法机构与安全公司组成的联合行动小组摧毁。
![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科欧洲刑警组织牵头行动摧毁 Tycoon 2FA 钓鱼即服务平台](https://www.anquan114.com/wp-content/uploads/2026/03/20260306175501335-image.png)
这款基于订阅模式的钓鱼工具套件最早于 2023 年 8 月出现,欧洲刑警组织将其描述为全球规模最大的钓鱼犯罪活动之一。该工具通过 Telegram 和 Signal 出售,起步价为 10 天使用权 120 美元,或一个月网页版管理面板访问权限 350 美元。据称,Tycoon 2FA 的主要开发者是居住在巴基斯坦的萨阿德・弗里迪(Saad Fridi)。
该管理面板是配置、追踪和优化钓鱼活动的核心中枢。它内置预制模板、常用诱饵格式的附件文件、域名与托管配置、重定向逻辑以及受害者追踪功能。操作者还可以配置恶意内容通过附件进行分发的方式,并监控有效与无效的登录尝试。
窃取到的信息包括账号凭证、多因素认证(MFA)验证码和会话 Cookie 等,这些信息既可以在面板内直接下载,也可以转发到 Telegram 中进行近乎实时的监控。
欧洲刑警组织表示:“该平台使数千名网络犯罪分子能够秘密访问电子邮件和云服务账户。在大规模运作下,该平台每月生成数千万封钓鱼邮件,并协助攻击者未经授权访问全球近 10 万家机构,其中包括学校、医院和公共机构。”
作为此次联合行动的一部分,支撑该犯罪服务的 330 个核心域名(包括钓鱼页面和控制面板)已被关停。
情报机构 Intel 471 将 Tycoon 2FA 定性为 “危险” 平台,并表示该工具套件与超过 64,000 起钓鱼事件及数万个域名相关联,每月产生数千万封钓鱼邮件。微软公司正在以代号 Storm-1747 追踪该服务的运营者,微软称,Tycoon 2FA 成为其在 2025 年观测到的最活跃攻击平台,并促使其在 2025 年 10 月拦截了超过 1300 万封与该恶意软件服务相关的恶意邮件。
截至 2025 年年中,Tycoon 2FA 占到了微软拦截的所有钓鱼攻击尝试的约 62%,其中单月邮件量就超过 3000 万封。这家科技巨头补充称,自 2023 年以来,该服务已在全球造成约 96,000 名 distinct 钓鱼受害者,其中包括超过 55,000 名微软客户。
网络安全公司 SpyCloud 对受害者日志数据的地理分析显示,美国是已确认受害者最集中的地区(179,264 人),其次是英国(16,901 人)、加拿大(15,272 人)、印度(7,832 人)和法国(6,823 人)。
这家网络安全公司表示:“绝大多数被攻击的账户都是企业管理账户,或与付费域名相关联,这进一步证实了一个结论:Tycoon 2FA 主要针对商业环境,而非个人消费者账户。”
网络安全公司 Proofpoint 的数据显示,Tycoon 2FA 是流量规模最大的中间人钓鱼威胁来源。这家电子邮件安全厂商称,仅在 2026 年 2 月,它就监测到超过 300 万条与该钓鱼工具相关的消息。作为此次行动的私营部门合作伙伴之一,趋势科技(Trend Micro)指出,该钓鱼即服务平台拥有约 2000 名使用者。
利用 Tycoon 2FA 发起的钓鱼活动几乎不加区分地针对所有行业,包括教育、医疗、金融、非营利组织和政府部门。通过该工具发送的钓鱼邮件每月覆盖全球超过 50 万家机构。
微软表示:“Tycoon 2FA 平台使威胁行为人能够模仿微软 365、OneDrive、Outlook、SharePoint 和 Gmail 等服务的登录页面,从而冒充可信品牌。”
“它还允许使用该服务的威胁行为人实现持久化控制,即使用户重置了密码,也能继续访问敏感信息,除非活跃会话和令牌被显式吊销。这种效果的实现原理是,在身份认证过程中拦截生成的会话 Cookie,同时捕获用户凭证。随后,多因素认证验证码会通过 Tycoon 2FA 的代理服务器中转到目标认证服务。”
该工具套件还采用了多种技术来规避检测,包括按键记录监控、反机器人筛选、浏览器指纹识别、高强度代码混淆、自建验证码、自定义 JavaScript 以及动态诱饵页面等。另一个关键特点是,它大量使用各类顶级域名(TLD)和短期有效完全限定域名(FQDN),并依托 Cloudflare 搭建钓鱼基础设施。
这些完全限定域名通常仅存活 24 到 72 小时,这种快速轮换是故意为之,目的是增加检测难度,并阻止安全机构建立可靠的拦截黑名单。微软还将 Tycoon 2FA 的成功归因于其高度模仿合法认证流程,从而隐秘拦截用户凭证和会话令牌。
更糟糕的是,Tycoon 2FA 的客户还使用一种名为 “账户接管跳跃”(ATO Jumping)的技术,即利用已攻陷的电子邮件账户分发 Tycoon 2FA 钓鱼链接,并尝试发起更多账户接管攻击。Proofpoint 指出:“使用这种技术能让邮件看起来像是真正来自受害者信任的联系人,从而提高攻击成功的可能性。”
像 Tycoon 这样的钓鱼工具套件在设计上具备高度灵活性,既能让技术能力不强的攻击者轻松使用,同时也能为更有经验的操作者提供高级功能。
Proofpoint 高级威胁研究员赛琳娜・拉尔森(Selena Larson)在向《黑客新闻》提供的声明中表示:“2025 年,99% 的机构遭遇了账户接管攻击尝试,67% 的机构发生了成功的账户接管事件。在这些被攻陷的账户中,59% 已经启用了多因素认证。虽然并非所有这些攻击都与 Tycoon 2FA 有关,但这一数据凸显了中间人钓鱼对企业造成的巨大影响。”
“这些能够实现完全账户接管的网络攻击可能导致灾难性后果,包括勒索软件感染或敏感数据泄露。随着威胁行为人持续将身份攻击作为重点,获取企业电子邮件账户的访问权限,往往是一条可能带来毁灭性后果的攻击链的第一步。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
