타이쿤2FA, MFA 우회 피싱 주의

타이쿤2FA, 더욱 강력해진 위협: 구글/MS 계정 MFA 우회 피싱 플랫폼 주의보

최근 사이버 보안 전문가들은 악명 높은 피싱 서비스(PhaaS) 플랫폼인 타이쿤2FA(Tycoon2FA)가 크게 개선되어 탐지 및 제거가 더욱 어려워졌다고 경고했습니다. 특히 구글(Google) 및 마이크로소프트(Microsoft) 계정의 다중 인증(MFA)을 우회하는 데 사용되는 이 플랫폼은 사이버 범죄자들 사이에서 큰 인기를 얻고 있어 사용자들의 각별한 주의가 필요합니다.

타이쿤2FA의 진화: 더욱 정교해진 공격 방식

보안 연구 기관인 트러스트웨이브(Trustwave)는 타이쿤2FA 플랫폼에서 세 가지 새로운 업그레이드를 발견했습니다. 이는 MFA를 우회하는 능력으로 잘 알려진 타이쿤2FA가 더욱 교묘해졌음을 의미합니다. 타이쿤2FA는 중간자 공격(AiTM) 방식으로 작동하여 로그인 자격 증명과 세션 쿠키를 가로채 MFA로 보호된 계정까지 무단으로 액세스합니다. 과거에도 여러 차례 업그레이드를 거듭하며 난독화와 회피 기술에 집중해왔습니다.

난독화 및 회피 기술 강화: 숨겨진 위협

트러스트웨이브에 따르면 타이쿤2FA는 이제 눈에 보이지 않는 유니코드 문자를 사용하여 JavaScript 내에 이진 데이터를 숨겨 수동 및 정적 패턴 매칭 분석을 회피합니다. 또한 클라우드플레어 턴스타일(Cloudflare Turnstile)에서 자체 호스팅 CAPTCHA로 전환하여 HTML 캔버스를 통해 무작위 요소로 렌더링함으로써 도메인 평판 시스템에 의한 핑거프린팅 및 플래깅을 우회합니다. 마지막으로, 브라우저 자동화 도구를 감지하고 일부 분석 도구를 차단하는 안티 디버깅 JavaScript 코드를 포함합니다.

작은 변화들이 모여 더 큰 위협으로

트러스트웨이브는 이러한 변경 사항이 혁신적이거나 PhaaS 생태계에서 특별히 새로운 것은 아니라고 강조합니다. 그러나 이러한 변화들이 결합되면 탐지 및 분석이 훨씬 더 어려워집니다. 타이쿤2FA는 2023년 중반에 처음 발견되었지만 2024년 초부터 주요 업그레이드를 거쳐 약 1,100개의 도메인을 사용하고 있으며 "수천 건"의 피싱 공격에 사용되고 있습니다.

지하 포럼에서 판매되는 피싱 서비스

타이쿤2FA 플랫폼은 지하 포럼에서 판매되며 10일 액세스에 120달러부터 시작하는 가격으로 판매되어 광범위한 사이버 범죄자들이 이용할 수 있습니다. 일부 연구원들은 이 플랫폼이 지하 커뮤니티에서 매우 인기가 있다고 주장합니다. 2023년 8월 (처음 출시되었을 때)부터 2024년 3월 사이에 운영과 관련된 비트코인 지갑은 당시 40만 달러 이상의 암호화폐를 벌어들인 것으로 알려졌습니다.