Tycoon 2FA captura el 89% del mercado de phishing usando el cifrado de César y símbolos invisibles

A principios de 2025, se registró un fuerte aumento en los ataques de phishing a medida (PhaaS). Solo en enero y febrero se detectaron más de un millón de ataques dirigidos a organizaciones en todo el mundo.

Las principales herramientas de ataque fueron las plataformas Tycoon 2FA, EvilProxy y Sneaky 2FA. El líder fue Tycoon 2FA, utilizado en el 89% de los ataques. EvilProxy ocupó el 8%, y el nuevo Sneaky 2FA, el 3%. Estos servicios ayudan a los ciberdelincuentes a eludir la protección y robar las credenciales de los usuarios.

Tycoon 2FA sigue evolucionando. En febrero ocurrió una nueva ola de ataques, donde los scripts maliciosos se volvieron aún más complejos. En lugar de los métodos anteriores de camuflaje, ahora se utiliza el cifrado de César. En el código aparecieron símbolos invisibles Unicode 3164, y para la transmisión de datos, los atacantes usan bots de Telegram. El script puede identificar el tipo de navegador de la víctima, y los datos robados se cifran con el estándar AES antes de enviarlos al servidor de los atacantes.

EvilProxy es peligroso porque es accesible incluso para novatos. El servicio utiliza un proxy inverso para interceptar las credenciales. La víctima ingresa su nombre de usuario y contraseña en una página falsa de inicio de sesión, y los datos se transfieren instantáneamente al sitio web legítimo, lo que otorga a los delincuentes acceso a la cuenta. Las páginas de phishing de EvilProxy son extremadamente similares a las originales, lo que hace que sean difíciles de detectar.

Sneaky 2FA se especializa en ataques AiTM contra Microsoft 365. La víctima recibe un correo electrónico con un enlace falso a una página de inicio de sesión. Si el usuario hace clic en el enlace, la plataforma inserta automáticamente el correo electrónico de la víctima en el formulario utilizando la función de autocompletado de Microsoft 365. Además, Sneaky 2FA verifica la dirección IP de la víctima: si pertenece a una VPN, bot o centro de datos, el usuario es redirigido a Wikipedia para ocultar el ataque.

Para protegerse de PhaaS, es necesario verificar las URL de las páginas de inicio de sesión. En Tycoon 2FA, a menudo se utiliza el correo electrónico en texto claro o codificado en Base64. EvilProxy es difícil de detectar, pero si la URL de la página de inicio de sesión difiere del estándar o aparece repentinamente una solicitud de autenticación multifactor (MFA), debe alertar. En Sneaky 2FA, los enlaces de phishing generalmente contienen un largo código alfanumérico y sufijos específicos, como /verify o /index.

El principal vector de ataques sigue siendo el correo electrónico. Para protegerse, las empresas necesitan sistemas avanzados de ciberseguridad que utilicen inteligencia artificial para detectar amenazas complejas. La capacitación de los empleados juega un papel crucial: deben ser capaces de reconocer signos de ataques y reportar páginas sospechosas. También es importante aplicar métodos de autenticación confiables, como FIDO2.