Threats
O Tycoon 2FA, plataforma PhaaS (Phishing as a Service) focada em contornar autenticação multifator, aumentou a sua infraestrutura, com destaque para a ativação coordenada de domínios espanhóis
09/07/2025
|
Investigadores da DNSFilter revelaram que o Tycoon 2FA, uma plataforma ativa desde agosto de 2023, tem expandido a sua operação através da utilização crescente de domínios espanhóis (.es), como parte de uma nova estratégia para dificultar a deteção e interrupção dos seus ataques. Em 7 de abril, 13 domínios .es foram ativados simultaneamente, e essa atividade manteve-se até junho, o que demonstra um padrão coordenado. Esta plataforma PhaaS (Phishing-as-a-Service) especializada em ataques intermediários, conhecidos por contornar a autenticação multifator, utiliza uma arquitetura de infraestrutura em duas camadas. A estratégia baseia-se na criação de Fully Qualified Domain Names (FQDN) de curta duração, alojados em domínios raiz com vida útil mais prolongada, tornando-os efémeros e difíceis de identificar. Além do crescimento da utilização de domínios espanhóis, o Tycoon 2FA aprimorou as suas técnicas de ofuscação para dificultar a deteção pelas soluções tradicionais. Entre as táticas estão esquemas de codificação aninhados que envolvem blobs criptografados e o uso combinado das codificações Base64 e Base91, mais avançada, o que indica uma sofisticação crescente por parte dos atacantes. Outra característica observada é a utilização de subdomínios altamente direcionados, com evidências de que a maioria destes subdomínios recebe poucas consultas DNS, menos de dez na totalidade, em 99,6% dos casos. Esta particularidade sugere que cada subdomínio serve a um propósito muito específico, potencialmente direcionado a alvos determinados. A DNSFilter identificou ainda 65 indicadores de comprometimento (IOC) referentes a domínios raiz que podem ajudar as equipas de cibersegurança a implementar bloqueios mais eficazes e a reduzir o tempo em que as ameaças permanecem ativas nas redes empresariais. Will Strafach, Head of Security Intelligence & Solutions da DNSFilter, alertou que “os atores maliciosos continuam a evoluir os seus métodos e tornar-se cada vez mais sofisticados”. Para reforçar a cibersegurança das empresas, recomendou “o bloqueio por wildcard de todos os 65 domínios raiz identificados, bem como a monitorização apertada dos padrões de subdomínio”, que se revelam estratégias importantes para mitigar o impacto dos ataques. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
THREATS
Falha de gravidade máxima no n8n expõe segredos e infraestruturas de IA a ataques remotos
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
