Tycoon2FA, el conegut kit de pesca com a servei, ha incorporat una tècnica capaç de comprometre comptes de Microsoft 365 mitjançant un mecanisme legítim d’autenticació: els codis de dispositiu OAuth.

Una nova evolució de Tycoon2FA està augmentant el nivell de sofisticació. El famós kit de pesca com a servei ha incorporat una tècnica capaç de comprometre comptes de Microsoft 365 mitjançant un mecanisme legítim d’autenticació. Es tracta dels codis de dispositiu OAuth.

La novetat és que l’atac no necessita robar directament contrasenyes ni interceptar codis tradicionals de doble verificació, sinó que l’usuari acaba autoritzant l’accés de manera involuntària a través de processos oficials de Microsoft, cosa que converteix aquesta tàctica en una tàctica especialment perillosa.

A més, el fenomen arriba en un moment delicat. Les campanyes basades en codis de dispositiu estan creixent ràpidament i els especialistes detecten una acceleració significativa durant els darrers mesos.

Tycoon2FA torna després del seu desmantellament

L’activitat de Tycoon2FA semblava haver patit un cop fort després d’una operació internacional llançada mesos enrere contra la seva infraestructura.

Aquella acció va afectar temporalment la plataforma, va reduir la seva activitat i va complicar el funcionament habitual del servei. Tot i això, l’aturada va durar poc. Els operadors van reconstruir ràpidament la seva infraestructura i van tornar amb noves capacitats i sistemes de protecció reforçats.

Les investigacions recents mostren que el grup ha recuperat pràcticament el mateix nivell operatiu que mantenia abans de la intervenció internacional. I la nova etapa no només suposa una reactivació, sinó que també incorpora canvis dissenyats per resistir futures interrupcions i evitar el treball d’investigadors i eines automatitzades.

Com funciona la pesca amb codi de dispositiu

La tècnica utilitzada explota una característica completament legítima inclosa en el protocol OAuth 2.0.

El sistema de codi de dispositiu va ser dissenyat originalment per facilitar l’accés a plataformes des d’equips amb capacitats limitades de navegació o entrada de dades, com ara televisors intel·ligents, consoles o determinats dispositius connectats.

El procés normal és senzill: l’usuari rep un codi, entra en una adreça oficial del servei i vincula el dispositiu al seu compte. El problema apareix quan els atacants manipulen aquest flux. En aquest cas, la víctima rep un correu aparentment legítim, moltes vegades amb assumptes relacionats amb pagaments, documents o factures, i dins del missatge apareix un enllaç preparat per iniciar una cadena complexa de redireccions.

L’usuari acaba arribant a una pàgina falsa amb aparença corporativa on se li demana introduir un codi específic en una adreça oficial de Microsoft.

El parany funciona perquè l’inici de sessió es produeix realment dins de l’entorn legítim de Microsoft. L’usuari no sospita perquè introdueix credencials i autenticació multifactor a pàgines reals. Sense adonar-se’n, acaba autoritzant l’accés a un dispositiu controlat pels atacants.

Un cop finalitzada l’autorització, Microsoft genera tokens d’accés i d’actualització associats al dispositiu autoritzat. Això permet que els atacants accedeixin a recursos empresarials sense necessitat de tornar a introduir credencials.

En termes pràctics, l’accés pot incloure:

• Correus electrònics corporatius
• Calendaris
• Documents emmagatzemats al núvol
• Fitxers compartits
• Aplicacions empresarials
• Informació interna sensible

L’impacte pot ser especialment important en organitzacions que centralitzen operacions crítiques dins de l’ecosistema Microsoft 365. L’amenaça és especialment difícil de detectar perquè l’accés es fa mitjançant processos aparentment legítims.

El creixement del pesca basat en codis es dispara

Les plataformes criminals estan adoptant ràpidament aquest model, tal com demostren investigacions recents. Els especialistes han identificat almenys deu plataformes de pesca com a servei i eines privades que incorporen aquest sistema i alguns informes assenyalen que aquest tipus de campanyes s’haurien multiplicat fins a 37 vegades durant l’últim any. La raó és senzilla: el model redueix friccions per a l’atacant i permet esquivar mecanismes tradicionals de protecció.

Una cadena d’atac cada cop més sofisticada

Les campanyes recents mostren, a més, un grau de complexitat tècnica creixent. Tycoon2FA fa servir serveis legítims i múltiples capes de redirecció per amagar la infraestructura real.  En algunes operacions recents apareixen URL de seguiment vinculades a plataformes empresarials conegudes i cadenes de JavaScript ofuscat dissenyades per dificultar-ne l’anàlisi. A més, el kit incorpora nombrosos sistemes destinats a bloquejar investigacions externes.

Entre les capacitats detectades figuren:

• Detecció de Selenium.
• Identificació de Puppeteer i Playwright.
• Bloqueig d’eines d’anàlisi.
• Filtratge de VPN.
• Detecció de sandboxes.
• Protecció davant de rastrejadors automatitzats.
• Identificació d’entorns cloud.

La llista de bloqueig utilitzada pel kit ja supera els 230 proveïdors identificats i continua augmentant.

Què recomanen els experts per protegir Microsoft 365

L’evolució d’aquest tipus de campanyes obliga moltes empreses a revisar polítiques d’accés i autenticació. Entre les mesures recomanades destaquen limitar l’ús del flux OAuth mitjançant codis quan no sigui imprescindible, reforçar el control sobre permisos concedits a aplicacions externes i exigir autoritzacions administratives addicionals.

També és essencial revisar registres d’autenticació, supervisar esdeveniments anòmals i aplicar polítiques d’accés continu capaces de detectar canvis sospitosos en temps real.