Tycoon2FA Yeniden Aktif: Microsoft 365 Hesaplarını Hedef Alan Yeni Device-Code Phishing Saldırıları
Microsoft 365 kullanıcılarını hedef alan Tycoon2FA oltalama platformunun, “device-code phishing” yöntemiyle yeniden aktif hale geldiği ve yeni gizleme teknikleriyle tespit edilmesini zorlaştırdığı bildirildi.
Microsoft Microsoft 365 kullanıcılarını hedef alan Tycoon2FA oltalama platformunun yeni saldırı yöntemleri geliştirdiği ortaya çıktı. Yönetilen güvenlik hizmeti şirketi eSentire tarafından yayımlanan araştırmaya göre platform, artık “device-code phishing” olarak bilinen cihaz kodu oltalama saldırılarını destekliyor.
Tycoon2FA Yeniden Yapılanıyor
Araştırmacılar, Mart 2026’da gerçekleştirilen uluslararası kolluk operasyonuyla Tycoon2FA altyapısının büyük ölçüde dağıtıldığını ancak saldırganların kısa sürede yeni altyapılar kurarak faaliyetlerine yeniden başladığını belirtti.
Abnormal AI tarafından yayımlanan raporda da platformun operasyonlarını yeniden güçlendirdiği ve tespit edilmesini zorlaştırmak için yeni gizleme katmanları eklediği ifade edildi.
Microsoft’un Gerçek Giriş Akışı Kötüye Kullanılıyor
Araştırmaya göre saldırılar, Microsoft’un OAuth 2.0 cihaz yetkilendirme akışını kötüye kullanıyor.
“Device-code phishing” yönteminde saldırganlar sahte bir cihaz doğrulama kodu üretiyor ve kullanıcıyı bunu Microsoft 365 giriş ekranına girmeye ikna ediyor.
Bu işlem sırasında kullanıcı aslında saldırganın kontrol ettiği cihaza erişim yetkisi veriyor ve böylece e-posta, takvim ve bulut verilerine tam erişim sağlanabiliyor.
Saldırı Zinciri: Trustifi ve Cloudflare Katmanları
Araştırmacılar, saldırının fatura temalı oltalama e-postalarıyla başladığını belirtti. Bağlantılar önce Trustifi üzerinden, ardından Cloudflare Workers ve çok katmanlı JavaScript yönlendirmeleriyle sahte Microsoft CAPTCHA sayfasına ulaşıyor.
Sahte sayfa, saldırganın ürettiği OAuth cihaz kodunu kullanıcıya gösteriyor ve bu kodun gerçek Microsoft giriş sayfasına girilmesini istiyor.
Kullanıcı doğrulamayı tamamladığında saldırgan kontrolündeki cihaz, OAuth erişim ve yenileme tokenlarını elde ediyor.
Güvenlik Araçlarını Tespit Edebiliyor
eSentire araştırmasına göre Tycoon2FA, analiz ortamlarını tespit edebilen gelişmiş anti-analiz özellikleri içeriyor.
Kitin; Selenium, Puppeteer, Playwright ve Burp Suite gibi araçları algılayabildiği, ayrıca VPN, sandbox ve bulut güvenlik ortamlarını da engellediği ifade edildi.
Analiz ortamı tespit edildiğinde kullanıcılar doğrudan gerçek Microsoft sayfalarına yönlendiriliyor.
Kurumlara Kritik Uyarılar
Uzmanlar, kuruluşlara OAuth cihaz kodu akışının devre dışı bırakılmasını veya sınırlandırılmasını önerdi. Ayrıca:
- OAuth izinlerinin kısıtlanması
- Üçüncü taraf uygulamalarda yönetici onayı zorunluluğu
- Continuous Access Evaluation (CAE) aktivasyonu
tavsiye edildi.
Microsoft Entra loglarında “deviceCode” girişlerinin ve şüpheli OAuth aktivitelerinin izlenmesi gerektiği de vurgulandı.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0
