# Tycoon 2FA > [!danger] PhaaS - Bypass de MFA > Kit de phishing-as-a-service (PhaaS) especializado em bypass de autenticação multifator (MFA/2FA) via ataques Adversary-in-the-Middle (AiTM). Um dos kits de phishing mais utilizados globalmente desde 2023. ## Visão Geral **Tycoon 2FA** é um kit de phishing-as-a-service (PhaaS) avançado projetado específicamente para contornar a autenticação multifator (MFA). Utiliza a técnica **Adversary-in-the-Middle (AiTM)** para interceptar sessões autenticadas, capturando tanto credenciais quanto cookies de sessão pós-autenticação - tornando o MFA ineficaz. Comercializado em fóruns criminosos e Telegram, o Tycoon 2FA reduziu significativamente a barreira técnica para ataques de bypass de MFA, permitindo que operadores sem conhecimento técnico profundo conduzam campanhas sofisticadas de credential harvesting. ## Características Técnicas - **Tipo:** Phishing-as-a-Service (PhaaS) - **Técnica central:** Adversary-in-the-Middle (AiTM) - proxy reverso entre vítima e serviço legítimo - **Alvos principais:** Microsoft 365, Google Workspace, plataformas SaaS corporativas - **Bypass de MFA:** Captura cookies de sessão pós-autenticação (session cookie theft) - **Evasão:** Anti-bot, detecção de sandbox, CAPTCHA obrigatório, bloqueio de crawlers - **Modelo comercial:** Assinatura mensal via canais Telegram/fóruns criminosos ## TTPs | Técnica | Descrição | |---------|-----------| | [[t1566-phishing\|T1566]] | E-mails de phishing sofisticados com lures corporativos | | [[t1539-steal-web-session-cookie\|T1539]] | Roubo de cookies de sessão autenticada (bypass MFA) | | [[t1557-adversary-in-the-middle\|T1557]] | Proxy reverso AiTM entre vítima e IdP legítimo | | [[t1114-email-collection\|T1114]] | Acesso a caixas de entrada após comprometimento | | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legítimas capturadas para acesso inicial | ## Infraestrutura O Tycoon 2FA opera como proxy reverso transparente: ``` Vítima → [Página falsa Tycoon] → [Proxy reverso AiTM] → [Microsoft/Google legítimo] ↓ Captura: credenciais + cookies de sessão ``` Isso permite que a autenticação MFA ocorra normalmente do ponto de vista da vítima, mas o kit intercepta os cookies de sessão após a autenticação bem-sucedida. ## Evolução e Variantes - **2023:** Primeira documentação pública - foco em Microsoft 365 - **2024:** Expansão para Google Workspace, Okta e outros IdPs - **2025-2026:** Versões com evasão aprimorada de detecção por plataformas de segurança de e-mail ## Comparação com Ferramentas Similares | Kit | Foco | Técnica | |-----|------|---------| | **Tycoon 2FA** | Microsoft 365, Google | AiTM proxy | | [[evilginx\|EvilGinx]] | Multi-plataforma | AiTM (open-source) | | Modlishka | Multi-plataforma | AiTM (open-source) | | W3LL Panel | Microsoft 365 | AiTM + BEC | ## Mitigações > [!tip] Defesas contra AiTM > - Implementar **FIDO2/Passkeys** - resistente a AiTM (ao contrário de TOTP/SMS) > - Habilitar **Conditional Access** com verificação de dispositivo gerenciado > - Monitorar logins de IPs/ASNs associados a serviços de proxy reverso > - Usar **Microsoft Defender for Office 365** com proteção anti-phishing ## Setores Afetados - [[setor-financeiro|Financeiro]] - Acesso a sistemas bancários corporativos - [[setor-governo|Governo]] - Comprometimento de contas institucionais - [[setor-tecnologia|Tecnologia]] - Acesso a ambientes cloud e SaaS ## Referências - [Sekoia.io - Tycoon 2FA PhaaS Analysis](https://blog.sekoia.io/tycoon-2fa-a-new-adversary-in-the-middle-phishing-kit/) - [Microsoft Security Blog - AiTM Phishing Attacks](https://www.microsoft.com/en-us/security/blog/) - [BleepingComputer - Tycoon 2FA Kit Coverage](https://www.bleepingcomputer.com/)