Coalizão Global Desmantela Tycoon 2FA Phishing
TL;DR
Plataforma Tycoon 2FA PhaaS Desmantelada em Operação Global
Uma coalizão global, liderada pela Europol e envolvendo agências de aplicação da lei e empresas de segurança, desmantelou a plataforma de phishing-as-a-service (PhaaS) Tycoon 2FA. Essa plataforma facilitava ataques de colheita de credenciais do tipo adversary-in-the-middle (AitM) em uma escala massiva. O kit de phishing baseado em assinatura era vendido via Telegram e Signal e era usado para coletar credenciais, códigos de autenticação multifator (MFA) e cookies de sessão. O principal desenvolvedor é alegadamente Saad Fridi, baseado no Paquistão.
Escala e Impacto do Tycoon 2FA
A Europol descreveu o Tycoon 2FA como uma das maiores operações de phishing em todo o mundo, permitindo que criminosos cibernéticos acessassem contas de e-mail e serviços baseados em nuvem de forma encoberta. A Intel 471 relatou que o kit estava ligado a mais de 64.000 incidentes de phishing e dezenas de milhares de domínios. A Microsoft bloqueou mais de 13 milhões de e-mails maliciosos ligados ao serviço em outubro de 2025, representando aproximadamente 62% de todas as tentativas de phishing bloqueadas pela Microsoft em meados de 2025. Estima-se que o serviço tenha afetado 96.000 vítimas distintas de phishing em todo o mundo desde 2023.
Detalhes Técnicos da Plataforma
O painel do Tycoon 2FA servia como um centro central para configuração, rastreamento e refinamento de campanhas, apresentando modelos pré-construídos, arquivos de anexos, configuração de domínio e hospedagem e rastreamento de vítimas. A plataforma interceptava cookies de sessão, mesmo após redefinições de senha, a menos que as sessões e tokens ativos fossem explicitamente revogados. Também empregava monitoramento de teclas digitadas, triagem anti-bot, fingerprinting de navegador e páginas de isca dinâmicas para evitar a detecção. A infraestrutura de phishing foi hospedada na Cloudflare usando nomes de domínio totalmente qualificados (FQDNs) de curta duração para dificultar a detecção.
Distribuição Geográfica e Vitimologia
A análise de dados de log de vítimas da SpyCloud mostrou que os EUA tinham a maior concentração de vítimas identificadas (179.264), seguidos pelo Reino Unido (16.901), Canadá (15.272), Índia (7.832) e França (6.823). A Proofpoint observou mais de três milhões de mensagens associadas ao kit de phishing apenas em fevereiro de 2026. A Trend Micro observou que a plataforma PhaaS tinha aproximadamente 2.000 usuários. As campanhas tiveram como alvo quase todos os setores, incluindo educação, saúde, finanças, organizações sem fins lucrativos e governo.
Cadeia de Ataque e Técnicas
A cadeia de ataque começou com e-mails de phishing contendo links ou códigos QR maliciosos que redirecionavam as vítimas para páginas de login falsas. Essas páginas frequentemente imitavam serviços como Microsoft 365, OneDrive, Outlook, SharePoint e Gmail, dinamicamente adaptadas para corresponder à marca da organização alvo. A Intel 471 observou que o Tycoon 2FA era vendido e suportado principalmente por meio de canais do Telegram operados por seus supostos desenvolvedores, frequentemente associados ao Saad Tycoon Group.
Recomendações para Segurança Aprimorada
A desativação do Tycoon 2FA destaca a necessidade de medidas de segurança robustas além do MFA básico. A Trend Micro recomenda adotar mecanismos de autenticação resistentes a phishing, implantar segurança avançada de e-mail e colaboração, habilitar a inspeção de URL em tempo real, monitorar a postura de risco de identidade e conduzir simulações regulares de phishing. O squirrelvpn.com oferece notícias, insights e atualizações de ponta sobre tecnologia VPN e privacidade online que podem ajudar a proteger contra essas ameaças.
Aprimore sua segurança online com o squirrelvpn.com. Explore nossos artigos detalhados, atualizações de notícias e recursos sobre tecnologia VPN e dicas para aprimorar a segurança e a privacidade online. Entre em contato conosco hoje mesmo para saber mais sobre como nossos serviços podem protegê-lo contra ataques de phishing e outras ameaças cibernéticas.
