Tykit – Neues SVG-Phishing-Kit stiehlt Microsoft-Daten 365 Anmeldungen

Untersuchung von Sensorstechforum.com — Ein kürzlich aufgetauchter Phishing-as-a-Service (PhaaS) Kit mit dem Namen Tykit setzt SVG-Aufsätze seit Mai als Waffe ein. 2025 um Microsoft-Unternehmen zu stehlen 365 Referenzen. Das Set kombiniert mehrstufige Umleitung, stark verschleiertes JavaScript, und Anti-Bot-Prüfungen, um automatisiertes Scannen zu verhindern, Opfer auf überzeugend gefälschte Microsoft-Anmeldeportale umleiten.

Warum SVG-Dateien? Der missverstandene „Bild“-Vektor

• SVG basiert auf XML und kann daher Skripte und Ereignisbehandler enthalten.. Angreifer betten JavaScript ein, das beim Öffnen/Ansehen ausgeführt wird., Eine scheinbar harmlose Grafik in eine Weiterleitungsseite oder eine vollständige Phishing-Seite verwandeln.
• Viele sichere E-Mail-Gateways und Anhangsfilter behandeln SVGs immer noch wie statische Bilder., oberflächliche MIME-Prüfungen anstelle einer tiefgehenden Inhaltsprüfung, was dazu beiträgt, dass bösartige Samples durchrutschen..
• Branchenverfolgung in 2025 hob einen Anstieg von SVG-basierten Ködern in Unternehmensmailboxen hervor., dies zu Plattformänderungen und neuen Erkennungsmechanismen führt.

Anatomie eines Tykit-Angriffs

• Stufe 1 — Lieferung via SVG: Die E-Mail-Köder (Rechnung, Lohnabrechnung, Projektvermögen) enthält eine SVG-Anhangsdatei oder einen Link. innen, Der Angreifer versteckt eine JavaScript-Payload, die sich zur Laufzeit selbst rekonstruiert. (z.B., XOR-/String-Split-Techniken) und löst beim Öffnen eine stille Weiterleitung aus..
• Stufe 2 — Umleitung „Trampolin“: Die Opfer werden auf eine Zwischenseite gebracht. ("Trampolin") das einfache Prüfungen durchführt und manchmal eine Scheinaufforderung anzeigt (z.B., „Gehen Sie zum letzten 4 Ziffern Ihres Telefons“). Die parametrisierte URL enthält häufig eine Base64-kodierte E-Mail-Adresse, um den Ablauf zu personalisieren..
• Stufe 3 — Anti-Bot-Tor: Die Kette zeigt üblicherweise ein Widget gegen Automatisierung. (z.B., Cloudflare Turnstile) um Scanner zu frustrieren und Legitimität vor der endgültigen Übergabe herzustellen.
• Stufe 4 — Gefälschtes Microsoft 365 Anmeldung: Eine optimierte Replikatseite überprüft das E-Mail-Format und fordert die Benutzer zur erneuten Eingabe ihrer Zugangsdaten auf, falls diese „falsch“ sind.
• Stufe 5 — Echtzeit-Exfiltration: Die Zugangsdaten werden an die APIs der Angreifer übermittelt. (z.B., /api/validate, /api/login), wobei die Antworten den Nutzerfluss steuern (Erfolg, Fehler, oder versuchen Sie es erneut.). Die in verschiedenen Kampagnen beobachteten Infrastrukturüberschneidungen deuten auf die Wiederverwendung eines gemeinsamen Ausrüstungssatzes hin..

Was steht auf dem Spiel

• Zugangsdatendiebstahl → Kompromittierung nachfolgender Entwicklungen: Email, Microsoft Onedrive, Sharepoint, Mannschaften, und andere M365-Workloads werden für Eindringlinge zugänglich.
• Geschäftliche E-Mail Kompromiss (BEC): Gestohlene Konten befeuern interne Spear-Phishing-Angriffe, Rechnungsbetrug, und Amtsanmaßung.
• Seitliche Bewegung: Angreifer nutzen gültige Anmeldeinformationen, um sich neu auszurichten, Rechte eskalieren, und Ransomware-Angriffe oder Datendiebstahl inszenieren.

Bekannte Indikatoren & Muster (Entschärft)

• Domänenmuster: segy* — wiederkehrende Zeichenketten in Tykit C2/Exfiltrationsdomänen (z.B., segy[.]example), nützlich für Pivoting und Retro-Jagd.
• Dateiartefakte: SVGs mit eingebettet, verschleiertes JavaScript; häufige Laufzeitrekonstruktion (z.B., XOR); Verwendung von eval nach der Dekodierung.
• Netzwerkverhalten: Weiterleitungen über mehrere Hops; POST-Anfragen an /api/validate und /api/login Endpunkte; gelegentliche sekundäre Protokollierungsendpunkte wie /x.php.
• UX sagt: Hellblaue SVG-Grafiken im „Modal“-Stil mit gestrichelten Rändern wurden in einigen Wellen als visuelle Ablenkung bei der Hintergrundausführung beobachtet..

Detektions-Playbook (SOC/IR)

• E-Mail-/Anhangsfilterung: Behandeln Sie SVGs als aktiven Inhalt.. Aktivieren Sie die detaillierte Inhaltsprüfung und Sandbox-Detonation für SVGs.; Blockierung oder Quarantäne, wenn die wirtschaftliche Rechtfertigung schwach ist.
• Verhaltenstelemetrie: Warnung bei clientseitigen Weiterleitungen von SVG-Renderings; JavaScript-Rekonstruktion/Auswertung in SVG-Kontexten; Blockierung der Entwicklertools und Unterdrückung des Rechtsklicks auf Seiten, die nach der SVG-Einführung aufgerufen werden..
• Netzwerküberwachung: Unbekannte Domains kennzeichnen, die übereinstimmen segy* und ähnliche Bausatzcluster. Untersuchen Sie Sequenzen von 302-Anfragen, die in M365-ähnlichen Hosts gipfeln..
• Bedrohungsanalyse: Kontinuierlich mit frischen IOCs anreichern, und sich von einem einzigen Artefakt aus drehen (Domänenmuster, Hash, Landebahn) zur zugehörigen Infrastruktur.

Verhütung & Härten (Sicherheitsverantwortliche)

• Starke Multi-Faktor-Authentifizierung und Zero Trust durchsetzen: Bedingter Zugriff, Risikobewertung beim Anmelden, und phishingresistente Methoden schränken den Nutzen von Anmeldeinformationen selbst dann ein, wenn diese erfasst wurden..
• Prinzip der geringsten Privilegien & Segmentierung: Den Explosionsradius verringern, wenn eine Identität kompromittiert wird.
• Anlagerichtlinie: Riskante Formate bereinigen oder blockieren (einschließlich SVG) für Gruppen, die sie nicht benötigen; Ich bevorzuge sichere Viewer, die aktive Inhalte ausblenden..
• Steuerungsmöglichkeiten für die Benutzererfahrung: Berücksichtigen Sie die Richtlinien von E-Mail-Clients/Servern, die das Inline-Rendering von SVGs unterdrücken.; Weisen Sie die Benutzer darauf hin, dass „Image“-Dateien Logik ausführen können..
• Reaktionsbereitschaft: Praxiskonto sperren/zurücksetzen, OAuth-App-Rezension, Bereinigung der Postfachregeln, und Token-Entzug bei Verdacht auf Phishing-Angriffe.

Checkliste für die schnelle Triage

• Postfächer durchsuchen, Gateways, und EDR für SVG-Anhänge, die um das Warnfenster herum bereitgestellt werden.
• Suche nach Umleitungsketten, bei denen der erste Referrer ein lokaler ist file:// oder SVG-Ansicht der E-Mail-Quelle.
• Abfrage-Proxy/DNS für segy* Nachschlagen, und für Beiträge an /api/validate / /api/login auf Nicht-Microsoft-Domänen.
• Überprüfen Sie verdächtige Seiten auf Anti-Bot-Widgets und die Unterdrückung von Entwicklertools.; DOM erfassen, um verschleierte Skripte wiederherzustellen.
• Betroffene Konten zurückgesetzt, Sitzungen/Token widerrufen, Postfachregeln und OAuth-Berechtigungen überprüfen, und MFA aktivieren/verstärken.

Referenzen & Weiterführende Literatur

• ANY.RUN-Übersicht zu Tykit und zugehörigen IOCs — „Tykit: Phishing-Kit-Übersicht
• ANY.RUN Kampagnenanalyse branchenübergreifend — „Tykit-Analyse“: Neues Phishing-Kit …“
• Bericht über Tykits SVG-Köder und die Konsistenz der Vorlagen — SC-Weltberichterstattung
• Kontext: Warum SVG für Phisher attraktiv ist — Cloudflare-Forschung
• Microsoft/Branchenkontext zu SVG-Phishing und Anti-Bot-Gates — Microsoft Threat Intelligence, TechRadar (Outlook SVG-Änderung)

Tykit-Proben und IOCs: Beginnen Sie die Drehungen mit dem Muster domainName:"segy*" in Ihrer Bedrohungsanalyseplattform. Domains beim Teilen deaktivieren, und mit passivem DNS anreichern, TLS-Zertifikate, und WHOIS-Überschneidungen.

Neue Tykit-Muster oder frische IOCs erhalten? Geben Sie uns einen Tipp auf Sensorstechforum.com.

Ventsislav Krastev

Ventsislav ist seitdem Cybersicherheitsexperte bei SensorsTechForum 2015. Er hat recherchiert, Abdeckung, Unterstützung der Opfer bei den neuesten Malware-Infektionen sowie beim Testen und Überprüfen von Software und den neuesten technischen Entwicklungen. Nachdem auch graduierte-Marketing, Ventsislav hat auch eine Leidenschaft für das Erlernen neuer Veränderungen und Innovationen in der Cybersicherheit, die zu Spielverändernern werden. Nach dem Studium des Wertschöpfungskettenmanagements, Netzwerkadministration und Computeradministration von Systemanwendungen, Er fand seine wahre Berufung in der Cybersecrurity-Branche und glaubt fest an die Aufklärung jedes Benutzers über Online-Sicherheit.

Mehr Beiträge - Webseite

Folge mir: