Tycoon2FA вернулся после громкого удара

Фишинговая платформа Tycoon2FA, по которой в начале марта прошла крупная международная операция, вернулась в строй. По данным CrowdStrike, после краткого падения активности сервис быстро восстановился до уровней, близких к тем, что наблюдались в начале 2026 года. SecurityWeek со ссылкой на CrowdStrike пишет, что 4 и 5 марта объём активности упал примерно до 25%, но затем вскоре вернулся к прежним показателям.

Tycoon2FA — это сервис формата phishing-as-a-service (PhaaS), то есть «фишинг как услуга». Он даёт злоумышленникам готовую инфраструктуру для кражи учётных данных и обхода многофакторной аутентификации. Microsoft называет Tycoon2FA одной из самых массовых AiTM-платформ последних лет.

4 марта 2026 года Microsoft, Европол и партнёры объявили о международной операции против Tycoon2FA. В рамках этой операции были изъяты 330 активных доменов, которые использовались для панелей управления и поддельных страниц входа. Microsoft отдельно подчёркивала, что Tycoon2FA с 2023 года использовался тысячами киберпреступников и обслуживал кампании, которые отправляли десятки миллионов фишинговых писем в месяц, затрагивая более 500 тысяч организаций по всему миру.

На момент объявления операция выглядела очень серьёзной. Microsoft оценивала, что к середине 2025 года Tycoon2FA отвечал примерно за 62% всех фишинговых попыток, которые компания блокировала, а за один месяц объём доходил более чем до 30 миллионов писем. Компания также связывала платформу примерно с 96 тысячами уникальных жертв с 2023 года, включая более 55 тысяч клиентов Microsoft.

Но по информации CrowdStrike, которую приводит SecurityWeek, takedown нанёс сервису лишь временный ущерб: активность быстро вернулась, а TTPs — то есть tactics, techniques, and procedures, «тактики, техники и процедуры», фактически не изменились. Иными словами, у операторов не только сохранилась возможность продолжать атаки, но и их рабочая схема осталась прежней.

Proofpoint описывает механику прямо: Tycoon2FA крадёт usernames, passwords, and Microsoft 365 and Gmail session cookies — имена пользователей, пароли и сессионные cookie Microsoft 365 и Gmail. Эти cookie затем используются для обхода многофакторной аутентификации и получения полного захвата аккаунта — account takeover (ATO).

По данным Microsoft и Proofpoint, типичная атака начинается с письма-приманки. В письмах используются ссылки, QR-коды, вложения .svg, .pdf, .html, .docx, а также различные темы, которые подталкивают пользователя к срочному действию. После перехода пользователь попадает на промежуточную страницу — часто с CAPTCHA или похожей защитной проверкой — а затем на поддельную страницу входа, которая визуально имитирует Microsoft или Google.

CAPTCHA в этой схеме нужна не для защиты жертвы, а для защиты самого фишинга. Она помогает отсеивать автоматические сканеры, песочницы и некоторые защитные системы. Microsoft также упоминала среди методов уклонения anti-bot screening, browser fingerprinting, сильную обфускацию кода, собственные CAPTCHA-механизмы и динамические страницы-обманки.

SecurityWeek со ссылкой на CrowdStrike добавляет, что после takedown наблюдались те же признаки работы платформы: фишинговые письма вели на вредоносные CAPTCHA-страницы, затем шла кража session cookies, извлечение адресов электронной почты через JavaScript, проксирование учётных данных и последующий доступ к облачной среде жертвы. В марте 2026 года Tycoon2FA, по этим данным, использовался для BEC-фишинга, захвата почтовых переписок, компрометации SharePoint, распространения фишинговых URL и захвата облачных аккаунтов.

Proofpoint тоже отмечала, что Tycoon2FA продавался как подписка через Telegram и использовался множеством разных злоумышленников. То есть речь идёт не об одной группе с одной инфраструктурой, а о сервисе, которым пользуются разные клиенты. Если часть доменов изъяли, операторы могут быстро нарастить новые площадки, а подписчики — продолжить кампании с обновлёнными индикаторами компрометации.

По данным SecurityWeek, CrowdStrike обнаружила IP-адреса, вероятно приобретённые уже после операции, а также фишинговые домены, которые использовались ещё с 2025 года и не попали под мартовскую зачистку. Это хороший пример того, как такие сервисы выживают за счёт распределённой инфраструктуры и запасных каналов.

Microsoft также указывала, что после кражи сессионных токенов злоумышленники могут сохранять доступ даже после смены пароля, если организация не отзывает активные сессии и токены. Это критически важная деталь для реагирования: одной смены пароля после фишинга недостаточно. Нужно завершать сессии, отзывать токены и проверять, не был ли создан дополнительный доступ уже после входа.

Согласно рекомендациям исследователей, для корпоративной защиты базовый набор мер выглядит так:

Максимально снижать успешность самой AiTM-цепочки: ужесточать защиту почты, блокировать опасные вложения, отслеживать QR-фишинг и подозрительные редиректы. Microsoft отдельно рекомендует усиление почтовых правил, spoof-защиты и корректную настройку защитных коннекторов.

Делать упор не только на MFA, но и на phishing-resistant MFA — более устойчивые к фишингу методы аутентификации. К таким подходам обычно относят FIDO2/WebAuthn, аппаратные ключи и иные механизмы, которые сложнее проксировать через AiTM. Это логичный технический вывод из природы Tycoon2FA и общий вектор защиты от подобных платформ.

После любого подозрения на фишинг нужно не просто менять пароль, а отзывать активные сессии, аннулировать токены, проверять правила пересылки в почте, подозрительные OAuth-связки, доступ к SharePoint и следы захвата переписки. Именно такие сценарии — BEC, угон цепочек писем, облачные компрометации — CrowdStrike и связывает с текущей активностью Tycoon2FA.