Obwohl eine internationale Strafverfolgungsoperation die **Tycoon2FA** Phishing-Plattform im März zerschlagen hat, wurde der bösartige Betrieb auf neuer Infrastruktur wieder aufgebaut und schnell wieder auf das normale Aktivitätsniveau zurückgekehrt. Anfang dieses Monats bestätigte **Abnormal Security**, dass **Tycoon2FA** zum Normalbetrieb zurückgekehrt ist und sogar neue Verschleierungsschichten hinzugefügt hat, um seine Widerstandsfähigkeit gegen weitere Disruptionsversuche zu erhöhen. Ende April wurde **Tycoon2FA** in einer Kampagne beobachtet, die die OAuth 2.0 Device Authorization Grant Flows nutzte, um **Microsoft 365**-Konten zu kompromittieren, was darauf hindeutet, dass der Betreiber das Kit weiterentwickelt. Gerätecode-Phishing ist eine Angriffsart, bei der Bedrohungsakteure eine Geräteautorisierungsanfrage an den Anbieter des Zielservices senden und den generierten Code an das Opfer weiterleiten, um es zu täuschen, diesen auf der legitimen Anmeldeseite des Services einzugeben. Dadurch autorisiert das Opfer den Angreifer, ein bösartiges Gerät mit dem **Microsoft 365**-Konto des Opfers zu registrieren, was ihm uneingeschränkten Zugriff auf die Daten und Dienste des Opfers gewährt, einschließlich E-Mail, Kalender und Cloud-Dateispeicher. **Push Security** warnte kürzlich, dass diese Art von Angriff in diesem Jahr erheblich zugenommen hat, unterstützt durch zahlreiche Phishing-as-a-Service (PhaaS)-Plattformen und private Kits. Ein aktuellerer Bericht von **Proofpoint** verzeichnet einen ähnlichen Anstieg der Nutzung dieser Taktik. ### Tycoon2FA fügt Gerätecode-Phishing hinzu Laut neuen Forschungsergebnissen des Managed Detection and Response-Unternehmens **eSentire** bestätigt **Tycoon2FA**, dass Gerätecode-Phishing unter Cyberkriminellen sehr beliebt geworden ist. „Der Angriff beginnt, wenn ein Opfer eine **Trustifi** Click-Tracking-URL in einer Köder-E-Mail anklickt und gipfelt darin, dass das Opfer unwissentlich OAuth-Token über den legitimen Geräteanmeldefluss von **Microsoft** unter microsoft.com/devicelogin an ein vom Angreifer kontrolliertes Gerät vergibt“, erklärt **eSentire**. „Die Verbindung dieser beiden Endpunkte ist eine vierlagige In-Browser-Lieferkette, deren **Tycoon 2FA** Tradecraft praktisch unverändert ist gegenüber der Credential-Relay-Variante, die TRU im April 2025 dokumentiert hat, und der Post-Takedown-Variante, die im April 2026 dokumentiert wurde.“ **Trustifi** ist eine legitime E-Mail-Sicherheitsplattform, die eine Reihe von Tools anbietet, die in verschiedene E-Mail-Dienste integriert sind, einschließlich der von **Microsoft** und **Google**. **eSentire** weiß jedoch nicht, wie die Angreifer **Trustifi** nutzen konnten. Laut den Forschern verwendet der Angriff eine E-Mail mit Rechnungs-Thema, die eine **Trustifi**-Tracking-URL enthält, die über **Trustifi**, **Cloudflare Workers** und mehrere verschleierte JavaScript-Layer weitergeleitet wird und das Opfer auf einer gefälschten **Microsoft** CAPTCHA-Seite landet. Die Phishing-Seite ruft einen **Microsoft** OAuth-Gerätecode vom Backend des Angreifers ab und weist das Opfer an, diesen zu kopieren und auf „microsoft.com/devicelogin“ einzufügen, wonach das Opfer die Multi-Faktor-Authentifizierung (MFA) auf seiner Seite abschließt. Nach diesem Schritt stellt **Microsoft** OAuth-Zugriffs- und Aktualisierungstoken für das vom Angreifer kontrollierte Gerät aus.  *Quelle: eSentire* Das **Tycoon2FA** Phishing-Kit enthält umfangreiche Schutzmaßnahmen gegen Forscher und automatisierte Scans, erkennt Selenium, Puppeteer, Playwright, Burp Suite, blockiert Sicherheitsanbieter, VPNs, Sandboxes, KI-Crawler und Cloud-Anbieter und verwendet Debugger-Timing-Fallen. Anfragen von Geräten, die auf eine Analyseumgebung hindeuten, werden automatisch auf eine legitime **Microsoft**-Seite umgeleitet, so **eSentire**. Die Forscher haben festgestellt, dass die Blockliste des Kits derzeit 230 Anbieternamen enthält und ständig aktualisiert wird. **eSentire** empfiehlt, den OAuth-Gerätecode-Flow zu deaktivieren, wenn er nicht benötigt wird, OAuth-Zustimmungsberechtigungen einzuschränken, die Administratorgenehmigung für Drittanbieter-Apps zu verlangen, Continuous Access Evaluation (CAE) zu aktivieren und konforme Zugriffsrichtlinien für Geräte durchzusetzen. Zusätzlich empfehlen die Forscher die Überwachung der Entra-Logs auf GeräteCode-Authentifizierung, die Nutzung des **Microsoft** Authentication Broker und Node.js-User-Agents. **eSentire** hat eine Reihe von [Indicators of Compromise](http://github.com/eSentire/iocs/blob/main/Tycoon2FA/Tycoon2fa-iocs-03-23-2026.txt) (IoCs) für die neuesten **Tycoon2FA**-Angriffe veröffentlicht, um Verteidigern bei der Sicherung ihrer Umgebungen zu helfen.