Tycoon 2FA werkt als
een adversary-in-the-middle (AiTM) phishing kit. Het voornaamste doel
is het verzamelen van gebruikersnamen, wachtwoorden en sessiecookies
van Microsoft 365 en Gmail. Aanvallers gebruiken deze cookies om de
toegangscontroles van multifactorauthenticatie (MFA) tijdens latere
authenticatie te omzeilen. Hierdoor realiseren ze volledige
accountovernames en krijgen ze ongeoorloofde toegang tot de accounts,
systemen en clouddiensten van een gebruiker, ook wanneer deze MFA als
extra securitymaatregel hebben.?
De infrastructuur van
Tycoon 2FA, inclusief domeinen en servers, werd verstoord in
samenwerking met particuliere en publieke partners, waaronder
Proofpoint, Microsoft, Europol,?Cloudflare, Coinbase, Crowell,
eSentire, Health-ISAC, Intel 471, Resecurity, The Shadowserver
Foundation, SpyCloud en TrendAI. In samenwerking met Europol en
verschillende wetshandhavingsinstanties werd de infrastructuur in
beslag genomen waarbij andere operationele maatregelen werden
doorgevoerd. Microsoft en mede-eiser Health-ISAC hebben daarnaast een
rechtszaak aangespannen tegen de vermeende maker van Tycoon 2FA, Saad
Fridi, en andere niet bij naam genoemde medewerkers. De verstoring, en
de daarmee samenhangende civiele procedure in het zuidelijke district
van New York in de Verenigde Staten, zullen een aanzienlijke impact
hebben op de activiteiten van Tycoon 2FA en de algehele
dreigingsactiviteit.??
“De actie van vandaag
richt zich op een belangrijke cybercrimineel, Tycoon 2FA. Deze is
verantwoordelijk voor het grootste aantal AiTM-phishingcampagnes in de
gegevens van Proofpoint”, zegt Selena Larson, Staff Threat Researcher
bij Proofpoint. “Aanvallen van Tycoon 2FA hebben geleid tot
tienduizenden gecompromitteerde accounts. Proofpoint heeft dergelijke
aanvallen waargenomen die gericht waren op kritieke sectoren, waaronder
de gezondheidszorg, het onderwijs, de overheid en defensie. Volgens de
dreigingsgegevens van Proofpoint heeft 99% van de organisaties in 2025
te maken gehad met pogingen tot accountovernames en is dit bij 67%
gelukt. Van de overgenomen accounts had 59% MFA ingeschakeld. Hoewel
niet al deze aanvallen verband hielden met Tycoon 2FA, toont dit wel de
impact van AiTM-phishing op ondernemingen aan.”
Proofpoint ondersteunde
de actie van Microsoft met dreigingsgegevens uit eigen observaties,
waaronder kwaadaardige domeinen en informatie met betrekking tot Tycoon
2FA-campagnes. Ook leverde het bedrijf een verklaring voor de
rechtszaak.?
Verstoring
Op 4 maart 2026
kondigde Microsoft een rechtszaak en verstorende maatregelen aan tegen
de maker van Tycoon 2FA en meerdere niet bij naam genoemde medewerkers.
Proofpoint ondersteunde de civiele procedure door een verklaring af te
geven over de activiteiten van Tycoon 2FA, inclusief details over de
infrastructuur en campagnes.?Microsoft nam 330 controlepaneeldomeinen
in beslag die verband hielden met Tycoon 2FA. Deze actie zal een
aanzienlijke impact hebben op de werkzaamheden en de lopende criminele
activiteiten verstoren.???
Selena Larson vervolgt:
“Deze cyberaanvallen, die volledige accountovernames mogelijk maken,
kunnen rampzalige gevolgen hebben. Denk hierbij aan ransomware of het
verlies van gevoelige gegevens. Doordat cybercriminelen
identiteitsdiefstal nog steeds hoog op hun agenda hebben staan, is het
verkrijgen van toegang tot e-mailaccounts van bedrijven vaak de eerste
stap in een reeks aanvallen die destructieve gevolgen kan hebben.
Proofpoint is er trots op deze actie en de bijbehorende rechtszaak te
ondersteunen samen met onze partners in de particuliere en publieke
sector. De infrastructuur van Tycoon 2FA uitschakelen en de
verantwoordelijke persoon voor het creëren van deze productieve
hacktool identificeren, zal een aanzienlijke impact hebben op phishing
met MFA-inloggegevens in het algemeen. Hopelijk brengt het een klap toe
aan 's werelds meest productieve AiTM phishing-as-a-service.”
Lees het volledige
Engelstalige bericht
hier.