Bộ công cụ lừa đảo Tycoon2FA hiện hỗ trợ các cuộc tấn công phishing mã thiết bị và lợi dụng các URL theo dõi nhấp chuột của Trustifi để chiếm đoạt tài khoản Microsoft 365.
Mặc dù một chiến dịch thực thi pháp luật quốc tế đã triệt phá nền tảng lừa đảo Tycoon2FA vào tháng 3 năm nay, nhưng hoạt động độc hại này đã được xây dựng trên cơ sở hạ tầng mới và nhanh chóng hoạt động trở lại bình thường.
Đầu tháng 5/2026, công ty an ninh mạng Abnormal Security xác nhận rằng Tycoon2FA đã xuất hiện và thậm chí còn bổ sung thêm các lớp mã hóa mới để tăng cường khả năng chống lại các nỗ lực phá hoại mới.
Trước đó, Tycoon2FA được phát hiện trong một chiến dịch lợi dụng luồng cấp quyền ủy quyền thiết bị OAuth 2.0 để xâm phạm tài khoản Microsoft 365, cho thấy nhà các tin tặc vẫn đang tiếp tục phát triển bộ công cụ.
Tấn công phishing bằng mã thiết bị là một kiểu tấn công trong đó tác nhân đe dọa gửi yêu cầu xác thực thiết bị đến nhà cung cấp dịch vụ của mục tiêu, đồng thời chuyển tiếp mã được tạo ra cho nạn nhân, đánh lừa họ nhập mã đó vào trang đăng nhập hợp lệ của dịch vụ.
Hành vi này cho phép kẻ tấn công đăng ký một thiết bị giả mạo với tài khoản Microsoft 365 của nạn nhân, từ đó cho phép chúng truy cập không hạn chế vào dữ liệu và dịch vụ của nạn nhân, bao gồm email, lịch và lưu trữ tệp trên đám mây.
Mới đây, Push Security cảnh báo rằng loại tấn công này đã tăng gấp 37 lần trong năm nay, được hỗ trợ bởi ít nhất 10 nền tảng dịch vụ phishing trực tuyến (PhaaS) và các bộ công cụ bí mật khác nhau. Một báo cáo gần đây hơn của Proofpoint cũng ghi nhận sự gia tăng tương tự trong việc sử dụng chiến thuật này.
Theo nghiên cứu mới từ công ty bảo mật eSentire, cuộc tấn công bắt đầu khi nạn nhân nhấp vào URL theo dõi lượt nhấp chuột của Trustifi trong email lừa đảo, kết thúc bằng việc nạn nhân vô tình cấp OAuth token cho thiết bị do kẻ tấn công điều khiển thông qua quy trình đăng nhập thiết bị hợp pháp của Microsoft tại microsoft.com/devicelogin.
Việc kết nối hai điểm cuối đó là một chuỗi phân phối 4 lớp trong trình duyệt, trong đó kỹ thuật xác thực hai yếu tố (2FA) của Tycoon hầu như không thay đổi so với biến thể chuyển tiếp thông tin xác thực mà TRU đã từng ghi nhận tháng 4/2025, cũng như biến thể sau khi bị gỡ bỏ vào tháng 4/2026.
Trustifi là một nền tảng bảo mật email hợp pháp cung cấp nhiều công cụ tích hợp vào các dịch vụ email khác nhau, bao gồm cả của Microsoft và Google. Tuy nhiên, eSentire không rõ bằng cách nào mà những kẻ tấn công lại có thể sử dụng Trustifi.
Theo các nhà nghiên cứu, cuộc tấn công sử dụng email lừa đảo giả mạo hóa đơn chứa URL theo dõi Trustifi, URL này sẽ chuyển hướng thông qua Trustifi, Cloudflare Workers và một số lớp JavaScript được mã hóa, chuyển hướng nạn nhân đến một trang CAPTCHA giả mạo của Microsoft.
Trang web lừa đảo lấy mã thiết bị Microsoft OAuth từ máy chủ của kẻ tấn công và hướng dẫn nạn nhân sao chép, dán mã đó vào “microsoft.com/devicelogin”, sau đó nạn nhân sẽ hoàn tất xác thực đa yếu tố (MFA) ở phía mình.
Sau bước này, Microsoft sẽ cấp token truy cập và reload OAuth cho thiết bị do kẻ tấn công kiểm soát.
Luồng tấn công Tycoon2FA
Bộ công cụ tấn công phishing Tycoon2FA bao gồm khả năng bảo vệ toàn diện chống lại việc phân tích tĩnh và quét tự động, phát hiện Selenium, Puppeteer, Playwright, Burp Suite, chặn các nhà cung cấp bảo mật, VPN, sandbox, trình thu thập dữ liệu AI và nhà cung cấp dịch vụ đám mây, đồng thời sử dụng debugger timing traps.
Theo eSentire, các yêu cầu từ các thiết bị cho biết đang ở trong môi trường phân tích sẽ tự động được chuyển hướng đến một trang hợp lệ của Microsoft. Các nhà nghiên cứu phát hiện ra rằng danh sách chặn (blocklist) của bộ công cụ hiện chứa 230 tên nhà cung cấp và được cập nhật liên tục.
ESentire khuyến nghị nên vô hiệu hóa luồng Oauth token khi không cần thiết, hạn chế quyền chấp thuận OAuth, yêu cầu phê duyệt của quản trị viên đối với các ứng dụng của bên thứ ba, bật Continuous Access Evaluation (CAE) và thực thi các chính sách truy cập thiết bị tuân thủ quy định.
Ngoài ra, các nhà nghiên cứu khuyến nghị nên theo dõi nhật ký Entra để phát hiện xác thực deviceCode, việc sử dụng Microsoft Authentication Broker và tác nhân người dùng Node.js. ESentire đã công bố một bộ chỉ báo về sự xâm phạm (IoC) đối với các cuộc tấn công Tycoon2FA mới nhất để giúp các quản trị viên bảo vệ môi trường của họ.
