Uma operação coordenada por agências de segurança e empresas de tecnologia resultou na desarticulação do Tycoon 2FA, um serviço de phishing que facilitava ataques de coleta de credenciais em larga escala. Este serviço, que operava sob um modelo de assinatura, permitia que cibercriminosos realizassem ataques de adversário no meio (AitM) para capturar dados de autenticação de usuários.
O Tycoon 2FA, ativo desde agosto de 2023, foi descrito pela Europol como uma das maiores operações de phishing do mundo. O serviço oferecia kits de phishing a partir de US$ 120 por 10 dias, ou US$ 350 por um mês, incluindo um painel de administração para gerenciar campanhas. Este painel permitia a configuração e o monitoramento de ataques, além de oferecer modelos prontos e ferramentas para capturar informações como credenciais e códigos de autenticação multifator (MFA).
O serviço possibilitou o envio de milhões de e-mails de phishing mensalmente, comprometendo quase 100.000 organizações em todo o mundo, incluindo escolas e hospitais. A operação resultou na derrubada de 330 domínios associados ao Tycoon 2FA. A Microsoft, que monitorava o serviço sob o nome Storm-1747, bloqueou mais de 13 milhões de e-mails maliciosos relacionados ao Tycoon 2FA em 2025.
O Tycoon 2FA permitia que atacantes imitassem páginas de login de serviços populares como Microsoft 365 e Gmail, capturando cookies de sessão e credenciais de usuários. Técnicas avançadas, como monitoramento de teclas e obfuscação de código, foram usadas para evitar detecção. Além disso, o serviço utilizava domínios de curta duração para dificultar a criação de listas de bloqueio eficazes.
Segundo a Proofpoint, em 2025, 99% das organizações enfrentaram tentativas de invasão de contas, com 67% delas sendo bem-sucedidas. Embora nem todos os ataques estivessem ligados ao Tycoon 2FA, o impacto do phishing AitM nas empresas é significativo, podendo levar a consequências graves como ransomware e perda de dados. A operação destacou a importância de medidas de segurança robustas para proteger contas corporativas.
Fonte:https://thehackernews.com/2026/03/europol-led-operation-takes-down-tycoon.html
