Il kit di phishing Tycoon2FA ha aggiunto una nuova arma al proprio arsenale: gli attacchi basati sul cosiddetto device code phishing, una tecnica pensata per aggirare anche l’autenticazione a due fattori e sottrarre l’accesso agli account Microsoft 365. Non è una novità che questo toolkit rappresenti una delle minacce più attive nel panorama del furto di credenziali, ma le ultime evoluzioni lo rendono ancora più insidioso, soprattutto perché sfrutta URL di click tracking legittimi, quelli del servizio Trustifi, per mascherare i link malevoli e superare i filtri di sicurezza delle email.
Il meccanismo è tanto elegante quanto pericoloso. Il device code phishing funziona così: la vittima riceve un’email che la invita ad autenticarsi inserendo un codice dispositivo su una pagina Microsoft del tutto autentica. Il problema è che quel codice è stato generato dall’attaccante, e nel momento in cui la vittima completa l’autenticazione, il token di sessione finisce direttamente nelle mani sbagliate. Il bello, dal punto di vista di chi attacca, è che non serve nemmeno creare una pagina di login falsa. La vittima interagisce con il vero sito Microsoft, il che rende quasi impossibile distinguere la truffa da una richiesta legittima.
Come funziona la catena di attacco e perché è così efficace
La catena di attacco orchestrata da Tycoon2FA parte da email di phishing costruite con cura. In molti casi i messaggi simulano comunicazioni da parte di piattaforme di collaborazione, come inviti a riunioni su Teams oppure notifiche di condivisione documenti. L’elemento chiave è l’uso degli URL di Trustifi, un servizio di sicurezza email legittimo che offre funzionalità di tracciamento dei clic. Inserendo il link malevolo dietro un redirect Trustifi, gli attaccanti riescono a far passare il messaggio attraverso i gateway di protezione email senza far scattare allarmi.
Una volta che la vittima clicca sul link, viene reindirizzata verso una pagina che mostra il codice dispositivo e le istruzioni per inserirlo sulla pagina ufficiale di accesso Microsoft. Completata la procedura, l’attaccante ottiene un token di autenticazione valido, che consente di accedere all’account senza bisogno di conoscere la password e senza che i meccanismi di autenticazione multifattore possano intervenire. Il token, infatti, rappresenta una sessione già autenticata.
Questa tecnica è particolarmente pericolosa negli ambienti aziendali, dove gli account Microsoft 365 contengono email, documenti riservati, accessi a SharePoint e molto altro. Un singolo token compromesso può aprire la porta a movimenti laterali all’interno dell’organizzazione, esfiltrazione di dati e persino attacchi di tipo business email compromise.
Tycoon2FA continua a evolversi e resta una minaccia concreta
Il kit Tycoon2FA non è nuovo nel panorama delle minacce. Si tratta di una piattaforma di phishing as a service, venduta su canali underground e utilizzata da numerosi gruppi criminali. Nel tempo ha già dimostrato la capacità di aggirare diverse forme di protezione, compresa l’autenticazione a due fattori basata su codici OTP. L’aggiunta del device code phishing rappresenta però un salto qualitativo, perché elimina del tutto la necessità di replicare pagine di login e sfrutta direttamente l’infrastruttura legittima di Microsoft.
Il fatto che vengano abusati servizi reali come Trustifi per il tracciamento dei clic complica ulteriormente il lavoro dei team di sicurezza. Non basta più bloccare domini sospetti o analizzare gli URL contenuti nelle email, perché il primo hop del redirect appartiene a un dominio con ottima reputazione. Serve un approccio più granulare, che tenga conto del comportamento complessivo del messaggio e del contesto in cui viene ricevuto.
