Глобальная коалиция ликвидировала Tycoon 2FA PhaaS

Tycoon 2FA Phishing-as-a-Service PhaaS Cybersecurity Europol Credential Harvesting MFA Bypass Adversary-in-the-Middle
D
Daniel Richter

Open-Source Security & Linux Privacy Specialist

 
4 марта 2026 г.
3 мин. чтения
Глобальная коалиция ликвидировала Tycoon 2FA PhaaS

TL;DR

A massive global operation has dismantled Tycoon 2FA, a leading phishing-as-a-service (PhaaS) platform. This subscription-based service, sold via messaging apps, facilitated sophisticated adversary-in-the-middle attacks, enabling cybercriminals to harvest credentials, MFA codes, and session cookies at scale. The platform's takedown is a significant win against cybercrime, impacting hundreds of thousands of victims worldwide.

Глобальная операция привела к ликвидации платформы фишинга как услуги Tycoon 2FA

Международная коалиция, возглавляемая Европолом и включающая правоохранительные органы и компании, занимающиеся вопросами безопасности, ликвидировала платформу фишинга как услугу (PhaaS) Tycoon 2FA. Эта платформа способствовала проведению масштабных атак типа "злоумышленник посередине" (AitM) для сбора учетных данных. Фишинговый набор, распространяемый по подписке, продавался через Telegram и Signal и использовался для сбора учетных данных, кодов многофакторной аутентификации (MFA) и сессионных cookie-файлов. Предполагается, что главным разработчиком является Саад Фриди, базирующийся в Пакистане.

Alt text

Изображение предоставлено The Hacker News

Масштаб и влияние Tycoon 2FA

Европол назвал Tycoon 2FA одной из крупнейших фишинговых операций в мире, позволяющей киберпреступникам скрытно получать доступ к учетным записям электронной почты и облачных сервисов. Компания Intel 471 сообщила, что этот набор был связан с более чем 64 000 фишинговых инцидентов и десятками тысяч доменов. Microsoft заблокировала более 13 миллионов вредоносных электронных писем, связанных с этой услугой, в октябре 2025 года, что составляет примерно 62% всех фишинговых атак, заблокированных Microsoft к середине 2025 года. По оценкам, с 2023 года эта услуга затронула около 96 000 уникальных жертв фишинга по всему миру.

Технические детали платформы

Панель Tycoon 2FA служила центральным узлом для настройки, отслеживания и совершенствования кампаний, включала в себя готовые шаблоны, файлы вложений, конфигурацию домена и хостинга, а также отслеживание жертв. Платформа перехватывала сессионные cookie-файлы даже после сброса пароля, если активные сессии и токены не были явно отозваны. Она также использовала мониторинг нажатия клавиш, проверку на наличие ботов, снятие отпечатков браузера и динамические страницы-приманки для уклонения от обнаружения. Фишинговая инфраструктура размещалась на Cloudflare с использованием короткоживущих полных доменных имен (FQDN) для усложнения обнаружения.

Alt text

Изображение предоставлено Point Wild

Географическое распределение и виктимология

Анализ данных журналов жертв, проведенный компанией SpyCloud, показал, что наибольшая концентрация идентифицированных жертв приходится на США (179 264), за которыми следуют Великобритания (16 901), Канада (15 272), Индия (7 832) и Франция (6 823). Компания Proofpoint обнаружила более трех миллионов сообщений, связанных с этим фишинговым набором, только в феврале 2026 года. Компания Trend Micro отметила, что у платформы PhaaS было около 2000 пользователей. Кампании были нацелены почти на все сектора, включая образование, здравоохранение, финансы, некоммерческие организации и правительство.

Цепочка атак и техники

Цепочка атак начиналась с фишинговых электронных писем, содержащих вредоносные ссылки или QR-коды, которые перенаправляли жертв на поддельные страницы входа в систему. Эти страницы часто имитировали такие сервисы, как Microsoft 365, OneDrive, Outlook, SharePoint и Gmail, динамически адаптируясь к брендингу целевой организации. Компания Intel 471 отметила, что Tycoon 2FA продавался и поддерживался в основном через каналы Telegram, управляемые предполагаемыми разработчиками, часто связанными с Saad Tycoon Group.

Alt text

Изображение предоставлено The Hacker News

Рекомендации по усилению безопасности

Ликвидация Tycoon 2FA подчеркивает необходимость принятия надежных мер безопасности, выходящих за рамки базовой MFA. Trend Micro рекомендует внедрять устойчивые к фишингу механизмы аутентификации, развертывать расширенные средства защиты электронной почты и совместной работы, включать проверку URL-адресов в режиме реального времени, отслеживать риски, связанные с идентификацией, и регулярно проводить фишинговые симуляции. squirrelvpn.com предлагает самые свежие новости, аналитику и обновления о VPN-технологиях и онлайн-конфиденциальности, которые могут помочь защититься от подобных угроз.

Повысьте свою онлайн-безопасность с помощью squirrelvpn.com. Ознакомьтесь с нашими подробными статьями, новостными обновлениями и функциями о VPN-технологиях, а также советами по повышению онлайн-безопасности и конфиденциальности. Свяжитесь с нами сегодня, чтобы узнать больше о том, как наши услуги могут защитить вас от фишинговых атак и других киберугроз.

D
Daniel Richter

Open-Source Security & Linux Privacy Specialist

 

Daniel Richter is an open-source software advocate and Linux security specialist who has contributed to several privacy-focused projects including Tor, Tails, and various open-source VPN clients. With over 15 years of experience in systems administration and a deep commitment to software freedom, Daniel brings a community-driven perspective to cybersecurity writing. He maintains a personal blog on hardening Linux systems and has mentored dozens of contributors to privacy-focused open-source projects.

Новости по теме

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Автор: Marcus Chen 3 июня 2026 г. 4 мин. чтения
common.read_full_article
Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability
CVE-2026-0257

Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability

Palo Alto Networks releases urgent patch for CVE-2026-0257. Attackers are actively exploiting GlobalProtect VPNs. Update your enterprise gateway immediately.

Автор: James Okoro 2 июня 2026 г. 4 мин. чтения
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Автор: Elena Voss 1 июня 2026 г. 5 мин. чтения
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Автор: Sophia Andersson 31 мая 2026 г. 4 мин. чтения
common.read_full_article