Si cree que Phishing está haciendo clic en un mal enlace y aterriza en una página de inicio de sesión falsa, Tycoon2fa demostrará que está equivocado. Esta nueva ola de phishing como servicio ya no está jugando el viejo juego; Está ejecutando una carrera de obstáculos de 7 etapas construida para desgastar tanto humanos como máquinas.
Ya ha pasado las herramientas de seguridad de confianza. Si los equipos de SOC no pueden exponerlo a tiempo, el daño podría hacerse antes de que alguien sepa que está allí.
Veamos cómo funciona y qué se necesita para detenerlo.
Centrado en objetivos de alto valor
Tycoon2fa no persigue las bandejas de entrada aleatorias, se dirige deliberadamente a las cuentas que pueden desbloquear sistemas críticos y datos confidenciales.
Agencias gubernamentales y militares. Instituciones financieras, desde bancos globales hasta aseguradoras regionales.
Las campañas recientes han atacado a los Estados Unidos, el Reino Unido, Canadá y Europa. Datos de Any.run Muestra que el 26% de los casos de Tycoon2FA involucraron a analistas bancarios del sector bancario, lo cual es una prueba clara de este kit tras sectores donde un solo inicio de sesión robado podría causar daños financieros graves o riesgos de seguridad nacional.
Cómo Tycoon2fa supera las defensas en 7 pasos
Cuando se detonan en una caja de arena, Tycoon2fa revela una ruta de 7 pasos cuidadosamente diseñada; Cada etapa diseñada para bloquear las herramientas automatizadas, los analistas de escape y ocultar el panel de phishing final hasta el final.
Verifique el caso real: ataque de Tycoon2fa de varias etapas
Análisis de ataque Tycoon2FA de múltiples etapas dentro de cualquiera.
En una reciente sesión de análisis de cualquiera, toda la cadena de phishing de Tycoon2fa se expuso en solo minutos.
Al ejecutar la muestra con interactividad automatizada habilitada, el sandbox no se detuvo en el análisis estático; Simulaba el comportamiento real del usuario, haciendo clic en enlaces, completando Captchas, presionando botones y navegar redireccionamientos de múltiples pasos.
Aquí es donde el panel de acciones de detonación en el lado derecho del sandbox demuestra su valor. Muestra los pasos clave tomados durante la ejecución y proporciona sugerencias útiles para ayudar a los analistas a mantener la sesión en movimiento.
Para los analistas junior en particular, es una manera fácil de seguir el flujo y evitar quedarse atascado en etapas difíciles.
Sección de acciones de detonación con sugerencias utilizadas para mantener la sesión en movimiento
Descubra el alcance completo de cualquier ataque, desde redireccionamientos ocultos hasta la carga útil final, en minutos, mientras recoge cada COI e indicador de comportamiento en el camino-> Prueba cualquiera.
1. Enlace de correo electrónico de phishing
La cadena comienza con un correo electrónico de phishing con tema de voz, instando a la víctima a hacer clic en un enlace “Escuchar aquí”. La interactividad automatizada lo hace clic de inmediato, comenzando el análisis sin entrada manual.
2. PDF Descargar un aviso
El enlace abre un mensaje “Descargar PDF” disfrazado de un nuevo mensaje de voz. Sandbox descarga el archivo al instante, preservando metadatos para una inspección adicional.
3. Enlace dentro del PDF
Abrir el PDF revela otro hipervínculo integrado. Any.
Hyperlink integrado analizado dentro de cualquiera.
4. Cloudflare Turnstile Captcha
Un desafío Captcha parece bloquear escáneres automatizados. El Sandbox lo completa sin ayuda humana, avanzando el análisis.
5. “Presione y sostenga” la verificación humana
Una segunda verificación contra el botón requiere una acción de prensa y retención. La interactividad automatizada simula este gesto, desbloqueando la siguiente etapa.
6. Página de validación por correo electrónico
Se le solicita a la víctima que “verifique” su dirección de correo electrónico antes de continuar; Un paso a menudo utilizado para confirmar que el objetivo es humano y se ajusta al perfil previsto del atacante.
Página de verificación de correo electrónico expuesta dentro de Sandbox interactivo
7. Panel de phishing Tycoon2fa
La etapa final es una página de inicio de sesión de Microsoft falsa diseñada para robar credenciales. Any.
Por qué el análisis de sandbox debería estar en cada flujo de trabajo de SOC
Los ataques como Tycoon2fa demuestran que las herramientas estáticas por sí solas no pueden mantenerse al día. Los kits de phishing de varias etapas detienen deliberadamente escáneres automatizados con pasos de verificación humana, ocultan sus cargas útiles finales y usan dominios que pueden permanecer sin ser detectados en Virustotal durante días.
Al integrar una caja de arena interactiva en el flujo de trabajo SOC, los equipos pueden:
Tiempo de investigación de corte: la interactividad automatizada maneja las acciones repetitivas del usuario (captchas, clics de botones, redireccionamientos) para que los analistas puedan ver toda la ruta de ataque en minutos en lugar de horas. Expone las cargas útiles ocultas: incluso las cadenas de phishing de varios pasos como Tycoon2FA se ejecutan por completo, revelando el panel de phishing final, las solicitudes de red e indicadores. Precisión de detección de impulso: el análisis de comportamiento descubre una lógica maliciosa que las firmas por sí solas no pueden atrapar. Apoyo a los analistas junior: el panel de acciones de detonación proporciona pistas guiadas y guiadas para que los miembros del equipo menos experimentados puedan seguir cadenas complejas sin detenerse. Enriquecer la inteligencia de amenazas: cada sesión genera COI, patrones de comportamiento e indicadores de red listos para su uso en reglas de detección y cazas de amenazas.
Con este enfoque, los equipos de SOC ven todo lo que ve el atacante, y lo obtienen lo suficientemente rápido como para actuar antes de que la campaña de phishing pase a su próximo objetivo.
Comience su prueba de 14 días de cualquiera. y ejecute su propio análisis de archivos o enlaces sospechosos. Observe cómo se desarrolle cada etapa, capture la evidencia que necesita y construya detecciones que lo detengan.
