Tycoon 2FA被用於裝置驗證碼網釣，駭客搭配Trustifi追蹤器挾持M365帳號

資安公司eSentire指出，他們從4月看到Tycoon 2FA最新一波攻擊活動，駭客引誘收件者點選信件裡的URL啟動攻擊鏈，此為透過Trustifi點擊追蹤服務產生的網址，然後企圖誘騙收件者在不知情的狀態下，在微軟裝置登入網頁microsoft[.]com/devicelogin，將OAuth權杖（token）授予攻擊者控制的裝置。值得留意的是，這次新的Tycoon 2FA網釣套件不會向使用者詢問密碼，駭客也使用偽裝成Microsoft Authentication Broker的OAuth用戶端程式，一旦成功誘騙使用者授權，攻擊者不只能得到存取Exchange Online、Microsoft Graph、OneDrive for Business的OAuth存取權杖，在防守方的Entra遙測資料裡，也看似正常的微軟應用程式活動。

針對攻擊發生的過程，駭客通常會假借發票通知寄送釣魚信，並引誘收件者點選連結，一旦他們照做，就會被攻擊者帶往Cloudflare Workers進行多層轉址，最終導向微軟的裝置登入網頁，進行攻擊者綁定裝置的工作。得逞後收件者會被導向真實的網頁電子郵件系統Outlook的收件匣。對此，eSentire呼籲IT人員採取行動因應，例如：實作Entra條件存取政策，停用終端使用者OAuth裝置驗證流程，並限制使用者對OAuth應用程式的授權，所有第三方應用程式也必須得到管理員核准，才能取得OAuth權限。