De Tycoon2FA phishingkit maakt gebruik van device-code phishing en misbruikt Trustifi click-tracking URL's om Microsoft 365-accounts te kapen. Ondanks een internationale politieactie in maart die het platform tijdelijk verstoorde, is de operatie herbouwd op nieuwe infrastructuur en hervatte snel de reguliere activiteiten.

Begin deze maand bevestigde Abnormal Security dat Tycoon2FA weer op volle kracht draaide en zelfs nieuwe lagen van obfuscatie toevoegde om de veerkracht tegen verstoringen te vergroten. Eind april werd Tycoon2FA waargenomen in een campagne die gebruikmaakt van de OAuth 2.0 device authorization grant flows om Microsoft 365-accounts te compromitteren, wat aangeeft dat de ontwikkelaars de kit blijven doorontwikkelen.

Device-code phishing is een aanvalsmethode waarbij aanvallers een device-autorisatieverzoek sturen naar de provider van de doelservice en de gegenereerde code doorsturen naar het slachtoffer. Het slachtoffer wordt misleid om deze code in te voeren op de legitieme inlogpagina van de service. Hierdoor kan de aanvaller een kwaadaardig apparaat registreren bij het Microsoft 365-account van het slachtoffer, waarmee onbeperkte toegang wordt verkregen tot e-mail, agenda en cloudopslag.

Push Security waarschuwde recent dat dit type aanval dit jaar met een factor 37 is toegenomen, ondersteund door minstens tien verschillende phishing-as-a-service (PhaaS) platforms en private kits. Een rapport van Proofpoint registreert een vergelijkbare stijging in het gebruik van deze tactiek.

Volgens nieuw onderzoek van managed detection en response-bedrijf eSentire bevestigt Tycoon2FA dat device-code phishing populair is onder cybercriminelen. De aanval start wanneer een slachtoffer op een Trustifi click-tracking URL in een lok-e-mail klikt en eindigt met het onbewust verlenen van OAuth-tokens aan een door de aanvaller gecontroleerd apparaat via de legitieme Microsoft device-login flow op microsoft.com/devicelogin, legt eSentire uit. De keten van vier browserlagen die deze aanval mogelijk maakt, is vrijwel ongewijzigd ten opzichte van eerdere varianten die in april 2025 en april 2026 werden gedocumenteerd.

Trustifi is een legitiem e-mailbeveiligingsplatform dat geïntegreerd is in diverse e-maildiensten, waaronder die van Microsoft en Google. Hoe de aanvallers Trustifi precies inzetten, is onbekend. De aanval gebruikt een phishingmail met een factuurthema en een Trustifi tracking-URL die via Trustifi, Cloudflare Workers en meerdere geobfusceerde JavaScript-lagen leidt naar een valse Microsoft CAPTCHA-pagina. De phishingpagina haalt een Microsoft OAuth device code op van de backend van de aanvaller en instrueert het slachtoffer deze code te kopiëren en te plakken op microsoft.com/devicelogin, waarna het slachtoffer de multi-factor authenticatie (MFA) voltooit. Vervolgens verstrekt Microsoft OAuth toegangstokens aan het door de aanvaller gecontroleerde apparaat.

De Tycoon2FA kit bevat uitgebreide detectie- en blokkeringstechnieken tegen onderzoekers en geautomatiseerde scans. Zo worden tools als Selenium, Puppeteer, Playwright, Burp Suite, VPN's, sandboxes, AI-crawlers en cloudproviders herkend en geblokkeerd. Verzoeken vanuit analyseomgevingen worden automatisch doorgestuurd naar een legitieme Microsoft-pagina. De blocklist van de kit bevat momenteel 230 vendor-namen en wordt continu bijgewerkt.

eSentire adviseert om de OAuth device code flow uit te schakelen wanneer deze niet nodig is, OAuth toestemmingen te beperken, admin goedkeuring te vereisen voor apps van derden, Continuous Access Evaluation (CAE) in te schakelen en beleid voor compliant device toegang af te dwingen.