Tykit – Nyt SVG-phishing-kit stjæler Microsoft 365 logins

Sensorstechforum.com undersøgelse — En nyligt dukket phishing-as-a-service op (PhaaS) sæt dubbet Tykit har brugt SVG-vedhæftninger som våben siden maj 2025 at stjæle virksomhedens Microsoft 365 legitimationsoplysninger. Kittet kombinerer omdirigering i flere trin, stærkt forvirret JavaScript, og anti-bot-tjek for at undgå automatiseret scanning, kanaliserer ofre til overbevisende forfalskede Microsoft-loginportaler.

Hvorfor SVG-filer? Den misforståede "billed"-vektor

• SVG er XML-baseret og kan lovligt indeholde scripts og event handlers. Angribere integrerer JavaScript, der kører ved åbning/visning, at forvandle en tilsyneladende harmløs grafik til en omdirigering eller en komplet phishing-side.
• Mange sikre e-mail-gateways og vedhæftede filer behandler stadig SVG'er som statiske billeder, udfører overfladiske MIME-kontroller i stedet for dybdegående indholdsinspektion, hvilket hjælper ondsindede prøver med at slippe igennem.
• Branchesporing i 2025 fremhævede en stigning i SVG-baserede lokkemidler på tværs af virksomhedspostkasser, hvilket fører til platformændringer og nye detektioner.

Anatomien af et Tykit-angreb

• Stage 1 — Levering via SVG: E-mail-lokkemidlet (faktura, lønseddel, projektaktiv) indeholder en SVG-vedhæftning eller et link. Inde, Angriberen skjuler en JavaScript-nyttelast, der rekonstruerer sig selv under kørsel (f.eks, XOR/strengopdelingsteknikker) og udløser en lydløs omdirigering, når den åbnes.
• Stage 2 — Omdirigering af “Trampolin”: Ofrene sendes videre til en mellemliggende side ("trampolin") der kører lette kontroller og nogle gange viser en lokkefugleprompt (f.eks, "indtast den sidste 4 cifrene på din telefon"). Den parametriserede URL indeholder ofte en base64-kodet e-mail for at personliggøre flowet..
• Stage 3 — Anti-bot-port: Kæden viser almindeligvis en anti-automatiseringswidget (f.eks, Cloudflare tællekors) at frustrere scannere og skabe legitimitet inden den endelige overdragelse.
• Stage 4 — Falsk Microsoft 365 Log på: En poleret replikaside validerer e-mailformater og opfordrer brugerne til at indtaste legitimationsoplysninger igen, hvis de er "forkerte".
• Stage 5 — Eksfiltrering i realtid: Legitimationsoplysninger sendes til angriberens API'er (f.eks, /api/validate, /api/login), med svar, der styrer brugeroplevelsen (succes, fejl, eller prøv igen). Overlapninger i infrastrukturen på tværs af kampagner indikerer genbrug af et delt sæt.

Hvad står på spil

• Tyveri af legitimationsoplysninger → kompromittering af downstream-systemet: Email, OneDrive, SharePoint, Hold, og andre M365-arbejdsbelastninger bliver tilgængelige for ubudne gæster.
• Firma e-mail Kompromis (BEC): Stjålne konti giver næring til intern spearphishing, fakturabedrageri, og efterligning af direktører.
• Lateral bevægelse: Angribere udnytter gyldige kreditter til at dreje, eskalere privilegier, og iscenesætte ransomware eller datatyveri.

Kendte indikatorer & Mønstre (Defanget)

• Domænemønster: segy* — tilbagevendende strenge i Tykit C2/exfil-domæner (f.eks, segy[.]example), nyttig til drejning og retrojagt.
• Filartefakter: SVG'er med indlejrede, obfuskeret JavaScript; hyppig rekonstruktion af runtime (f.eks, XOR); brug af eval efter afkodning.
• Netværksadfærd: Multi-hop omdirigeringer; POST-anmodninger til /api/validate og /api/login endepunkter; lejlighedsvise sekundære logging-slutpunkter som f.eks. /x.php.
• UX fortæller: Lyseblå SVG-kunst i "modal"-stil med stiplede kanter er blevet observeret i nogle bølger som en visuel distraktion under baggrundsudførelse..

Detektionshåndbog (SOC/IR)

• Filtrering af e-mails/vedhæftede filer: Behandl SVG'er som aktivt indhold. Aktivér dybdegående indholdsinspektion og sandkassedetonation for SVG'er; blokering eller karantæne, hvor forretningsmæssig begrundelse er svag.
• Adfærdstelemetri: Advarsel om omdirigeringer på klientsiden fra SVG-gengivelser; JavaScript-rekonstruktion/evaluering i SVG-kontekster; Blokering af udviklerværktøjer og undertrykkelse af højreklik på sider, der er nået efter SVG.
• Netværksovervågning: Markér ukendte domæner, der matcher segy* og lignende kitklynger. Undersøg sekvenser af 302'er, der kulminerer i M365-lignende værter.
• Trusselsefterretninger: Kontinuerligt berig med friske IOC'er, og dreje fra en enkelt artefakt (domænemønster, hash, landingsrute) til relateret infrastruktur.

Forebyggelse & Hærdning (Sikkerhedsledere)

• Håndhæv stærk MFA og nul tillid: Betinget adgang, risikovurdering ved login, og phishing-resistente metoder begrænser anvendeligheden af legitimationsoplysninger, selv hvis de indsamles.
• Mindst privilegium & segmentering: Reducer eksplosionsradius, når en identitet er kompromitteret.
• Politik for vedhæftede filer: Rens eller bloker risikable formater (inklusive SVG) for grupper, der ikke har brug for dem; foretrækker sikre seere, der fjerner aktivt indhold.
• Kontrolelementer for brugeroplevelsen: Overvej mailklient-/serverpolitikker, der undertrykker indlejret SVG-gengivelse; oplys brugerne om, at "billed"-filer kan udføre logik.
• Beredskab: Låsning/nulstilling af øvelseskonto, Anmeldelse af OAuth-appen, rydning af postkasseregler, og tilbagekaldelse af tokens ved mistanke om phishing-hændelser.

Tjekliste for hurtig triage

• Søg i postkasser, gateways, og EDR for SVG-vedhæftninger leveret omkring alarmvinduet.
• Led efter omdirigeringskæder, hvor den første henviser er en lokal file:// eller SVG-visning med e-mail-oprindelse.
• Forespørg proxy/DNS til segy* opslag, og for POST'er til /api/validate / /api/login på ikke-Microsoft-domæner.
• Undersøg mistænkelige sider for anti-bot-widgets og undertrykkelse af udviklerværktøjer; indfang DOM for at gendanne obfuskerede scripts.
• Nulstil berørte konti, tilbagekald sessioner/tokens, gennemgå postkasseregler og OAuth-tilladelser, og aktivere/forstærke MFA.

Referencer & Yderligere læsning

• ANY.RUN oversigt over Tykit og relaterede IOC'er — "Tykit": Oversigt over phishing-kit
• ANY.RUN kampagneanalyse på tværs af sektorer — "Tykit-analyse": Nyt phishing-kit …”
• Rapport om Tykits SVG-lokkemiddel og skabelonkonsistens — SC World-dækning
• Sammenhæng: Hvorfor SVG er attraktivt for phishere — Cloudflare-forskning
• Microsoft/branchekontekst om SVG-phish og anti-bot gates — Microsoft Trusselsintelligens, TechRadar (Ændring af Outlook SVG)

---

Tykit-prøver og IOC'er: Start pivoter med mønsteret domainName:"segy*" i din trusselsinformationsplatform. Fjern domæner ved deling, og berig med passiv DNS, TLS-certifikater, og WHOIS-overlapninger.

Har fået nye Tykit-prøver eller friske IOC'er? Giv os et tip på Sensorstechforum.com.