Barracuda full logo

Threat Spotlight: kit de phishing Tycoon 2FA actualizado para evadir la inspección

Temas:
22 ene 2025
|
Deerendra Prasad

Phishing-as-a-Service (PhaaS) proporciona a los atacantes conjuntos de herramientas avanzadas y plantillas que les permiten desplegar rápidamente campañas de phishing.

El rápido auge y evolución del PhaaS está impulsando un cambio fundamental en el ecosistema de phishing, haciendo que la amenaza sea cada vez más compleja y sofisticada. Los desarrolladores detrás de estos kits de phishing invierten considerables recursos en su creación y mejora continua.

Según los analistas de amenazas de Barracuda, alrededor del 30 % de los ataques de credenciales vistos en 2024 hicieron uso de PhaaS, y se espera que aumente al 50 % en 2025.

Barracuda supervisa la actividad de algunas de las plataformas PhaaS más destacadas. Una de ellas es Tycoon.

El uso de Tycoon ha sido extendido desde agosto de 2023. Se convirtió en Tycoon 2FA cuando evolucionó para sortear la autenticación multifactor — en este caso 2FA — mediante la recopilación y el uso de cookies de sesión de Microsoft 365. La última versión de Tycoon 2FA se vio por primera vez en noviembre de 2024, y presenta tácticas avanzadas diseñadas para obstruir, frustrar y de otra manera impedir que las herramientas de seguridad confirmen su intención maliciosa e inspeccionen sus páginas web.

Estas tácticas incluyen:

  • El uso de cuentas de correo electrónico legítimas —posiblemente comprometidas— para lanzar ataques
  • Código fuente especialmente diseñado para obstruir el análisis de páginas web
  • Medidas para bloquear el uso de scripts de seguridad automatizados y herramientas de prueba de penetración
  • Escuchar las pulsaciones de teclas que sugieren inspección web y luego bloquear más actividad
  • Deshabilitar el menú de clic derecho que podría revelar la verdadera intención de las páginas web
  • Bloquear a los usuarios para que no puedan copiar texto significativo de la página web para análisis sin conexión.

En este Spotlight de Amenazas, profundizamos en algunas de estas tácticas y analizamos cómo se utilizan para evadir la detección e inspección.

La última evolución de Tycoon 2FA

Tycoon 2FA permite a los atacantes interceptar y eludir medidas de seguridad multicapa diseñadas para proteger cuentas. Al apuntar y explotar vulnerabilidades en el proceso de 2FA, los atacantes pueden obtener acceso no autorizado a cuentas que de otro modo serían seguras.

A principios de noviembre de 2024, observamos un aumento en el uso de una nueva versión de Tycoon que es más sigilosa que la edición anterior y utiliza una serie de tácticas sofisticadas para obstruir la detección y el análisis.

Uso de identidades de correo electrónico legítimas

Uno de los cambios significativos en comparación con las versiones anteriores de Tycoon 2FA es que los correos electrónicos de phishing se envían desde direcciones de correo electrónico legítimas, potencialmente comprometidas.

Se muestran ejemplos de estos correos electrónicos de phishing a continuación:

Ejemplos de correos electrónicos de phishing de autenticación en dos pasos Tycoon

La página de phishing real a la que llevan estos correos electrónicos suele ser una página de inicio de sesión de Microsoft falsa.

Tácticas sofisticadas impiden el análisis de páginas de phishing

Código fuente obstructivo

Además de la forma en que se envían los correos electrónicos de phishing, hemos notado cambios importantes en el código fuente de la página de inicio de sesión falsa.

El código comienza con la carga de recursos de JavaScript, hojas de estilo, fuentes y metaetiquetas que se utilizan en la página de phishing.

Sin embargo, en la nueva versión de Tycoon 2FA se omite el patrón típico de llamar a recursos JavaScript externos, hojas de estilo y etiquetas meta, y se ha añadido una nueva función de script que obstruye los intentos de analizar la página web (ver imagen abajo).

Tycoon 2FA código fuente obstructivo

Detección de scripts de seguridad automatizados

Un análisis más profundo del código actualizado de Tycoon 2FA también reveló medidas para detectar y bloquear el tipo de herramientas automatizadas o scripts generalmente utilizados por las soluciones de seguridad para determinar si el código es malicioso, por ejemplo, la herramienta de pruebas de penetración ‘Burp’.

Tycoon 2FA detectando scripts de seguridad automatizados

Si se detectan dichas herramientas, el usuario es redirigido a una página en blanco, evitando un análisis adicional.

Escuchando las pulsaciones de teclas que sugieren inspección web

La última versión de Tycoon 2FA puede detectar y bloquear combinaciones de teclas o atajos que suelen utilizar los programadores o equipos de seguridad para inspeccionar una página web, dificultando que los analistas investiguen la página web en busca de código sospechoso, historial del navegador y más (ver abajo).

Tycoon 2FA listado para pulsaciones de teclas

La página web ha sido diseñada para bloquear la acción cuando se presiona cualquiera de estos atajos.

También observamos una versión alternativa del script anterior donde las claves se reemplazan por sus valores decimales ASCII (ver abajo):

Tycoon 2FA reemplazando valores decimales ASCII
Si las herramientas de desarrollo están abiertas, el software activará medidas que provocarán retrasos en el funcionamiento. Si el retraso supera un cierto umbral, lo que sugiere que las herramientas de desarrollo están activas, la página redirigirá al usuario a un sitio externo legítimo no relacionado, en este caso, https://www.onedrive.com.
Tycoon 2FA bloqueando herramientas de desarrollo

Características disruptivas adicionales

La última versión de Tycoon 2FA ha deshabilitado el menú contextual de clic derecho, lo que de otro modo podría permitir a los usuarios inspeccionar, guardar elementos o obtener más información sobre la verdadera intención de la página.

También observamos el uso de ofuscación de código para ocultar el contenido de las páginas web. Este enfoque se utiliza a menudo para hacer que el código sea más difícil de leer.

Por último, pero no menos importante, observamos herramientas utilizadas para evitar que los usuarios copien texto significativo de la página web sobrescribiendo automáticamente el contenido del portapapeles con una cadena especificada, dificultando así la extracción de datos.

Estos fueron los cambios más notables en la última versión de Tycoon 2FA. Seguimos profundizando en este kit de phishing y otros para aprender sobre su funcionalidad y cómo proteger a todos de tales ataques.

Conclusión

En 2025, el phishing ya no es una amenaza básica, sino un vector de ataque complejo y sofisticado que cuenta cada vez con más recursos. Los grupos PhaaS desempeñan un papel clave en impulsar esta evolución.

Hemos observado Tycoon 2FA utilizado en numerosas campañas de phishing durante los últimos meses. Esperamos que los ciberatacantes continúen refinando sus métodos para eludir las medidas de seguridad tradicionales y frustrar un análisis más profundo. Es esencial tener estrategias de defensa ágiles, innovadoras, multicapa y fomentar una cultura de seguridad sólida para estar por delante de esta amenaza en constante evolución.

Busque herramientas de seguridad que evolucionen continuamente en línea con las amenazas emergentes, mejorando las reglas de coincidencia de patrones, monitoreando IOCs y ajustando las soluciones de seguridad.

Informe: Principales amenazas de correo electrónico y Tendencias
Deerendra Prasad

Deerendra Prasad es Analista de Amenazas Asociado en el Equipo de Analistas de Amenazas de Barracuda Networks, con un año de experiencia práctica en ciberseguridad. Le apasiona mantenerse a la vanguardia de las amenazas emergentes y disfruta trabajar en proyectos relacionados con el hacking ético.

Publicaciones relacionadas:
Radar de amenazas de correo electrónico – Junio de 2025
Radar de amenazas de correo electrónico – Junio de 2025
 Una nueva investigación empresarial global muestra cómo la proliferación de la seguridad aumenta el riesgo
Una nueva investigación empresarial global muestra cómo la proliferación de la seguridad aumenta el riesgo
 Nuevo asistente de incorporación más sencillo para Barracuda Email Protection
Nuevo asistente de incorporación más sencillo para Barracuda Email Protection
 Cl0p ransomware: El invasor sucio que muerde mientras duermes
Cl0p ransomware: El invasor sucio que muerde mientras duermes
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.