Оновлена версія кримінального інструментарію Tycoon2FA почала масово використовуватися для обходу двофакторної автентифікації та захоплення корпоративних облікових записів Microsoft 365. Розробники цього шкідливого програмного забезпечення додали підтримку специфічного методу фішингу, заснованого на легітимному механізмі авторизації гаджетів за допомогою одноразових кодів. Незважаючи на масштабну міжнародну операцію правоохоронних органів, яка повністю заблокувала інфраструктуру Tycoon2FA у березні цього року, зловмисники розгорнули нові сервери та додали додаткові рівні маскування вихідного коду для протидії системам виявлення загроз.

Технологія поточної атаки базується на перехопленні сесій через легітимні посилання відстеження кліків Trustifi. Хакери ініціюють запит на підключення нового пристрою до цільової служби Microsoft 365, після чого обманом змушують жертву ввести згенерований код на офіційній сторінці входу. Після підтвердження коду з боку користувача зловмисники автоматично реєструють свій власний несанкціонований пристрій у корпоративній мережі компанії. Це дає їм повний безперешкодний доступ до електронної пошти, календарів, внутрішніх файлових сховищ та хмарних сервісів організації без необхідності повторного введення паролів або кодів підтвердження.