Tykit – Nuovo kit di phishing SVG ruba Microsoft 365 Account di accesso

Indagine su Sensorstechforum.com — Un servizio di phishing recentemente emerso (PhaaS) kit doppiato Tykit ha trasformato gli allegati SVG in armi da maggio 2025 per rubare la Microsoft aziendale 365 credenziali. Il kit combina il reindirizzamento multistadio, JavaScript fortemente offuscato, e controlli anti-bot per eludere la scansione automatica, indirizzare le vittime verso portali di accesso Microsoft falsificati in modo convincente.

Perché i file SVG? Il vettore “immagine” frainteso

• SVG è basato su XML e può includere legalmente script e gestori di eventi. Gli aggressori incorporano JavaScript che viene eseguito all'apertura/visualizzazione, trasformare una grafica apparentemente innocua in un redirector o in una pagina di phishing completa.
• Molti gateway di posta elettronica sicuri e filtri per allegati trattano ancora gli SVG come immagini statiche, eseguire controlli MIME superficiali invece di ispezioni approfondite dei contenuti, che aiuta i campioni dannosi a passare inosservati.
• Monitoraggio del settore in 2025 ha evidenziato un aumento delle esche basate su SVG nelle caselle di posta aziendali, sollecitando cambiamenti della piattaforma e nuove rilevazioni.

Anatomia di un attacco Tykit

• Palcoscenico 1 — Consegna tramite SVG: L'esca della posta elettronica (fattura, cedolino paga, risorsa del progetto) contiene un allegato o un collegamento SVG. Dentro, l'aggressore nasconde un payload JavaScript che si ricostruisce in fase di esecuzione (es, Tecniche XOR/string-split) e attiva un reindirizzamento silenzioso quando viene aperto.
• Palcoscenico 2 — Reindirizzamento "Trampolino": Le vittime vengono indirizzate a una pagina intermedia ("trampolino") che esegue controlli leggeri e talvolta visualizza un prompt esca (es, “entra l'ultimo 4 cifre del tuo telefono"). L'URL parametrizzato spesso include un'e-mail codificata in base64 per personalizzare il flusso.
• Palcoscenico 3 — Anti-bot Gate: La catena mostra comunemente un widget anti-automazione (es, Tornello Cloudflare) per frustrare gli scanner e creare legittimità prima del passaggio di consegne finale.
• Palcoscenico 4 — Falso Microsoft 365 Accesso: Una replica ottimizzata della pagina convalida i formati delle email e invita gli utenti a reinserire le credenziali se "non sono corrette".
• Palcoscenico 5 — Esfiltrazione in tempo reale: Le credenziali vengono pubblicate sulle API degli aggressori (es, /api/validate, /api/login), con risposte che guidano il percorso dell'utente (successo, errore, o riprovare). Le sovrapposizioni infrastrutturali osservate nelle campagne indicano il riutilizzo di un kit condiviso.

Cosa c'è in gioco

• Furto di credenziali → compromissione a valle: Email, Una guida, SharePoint, Squadre, e altri carichi di lavoro M365 diventano accessibili agli intrusi.
• Business Email compromesso (BEC): Gli account rubati alimentano lo spear-phishing interno, frode sulle fatture, e imitazione esecutiva.
• movimento laterale: Gli aggressori sfruttano credenziali valide per cambiare direzione, aumentare i privilegi, e mettere in scena ransomware o furto di dati.

Indicatori noti & Modelli (Senza zanne)

• Modello di dominio: segy* — stringhe ricorrenti nei domini Tykit C2/exfil (es, segy[.]example), utile per la rotazione e la caccia retrò.
• Artefatti di file: SVG con incorporato, JavaScript offuscato; ricostruzione frequente del runtime (es, XOR); utilizzo di eval dopo la decodifica.
• Comportamento della rete: Reindirizzamenti multi-hop; Richieste POST a /api/validate e /api/login punti finali; endpoint di registrazione secondari occasionali come /x.php.
• UX racconta: In alcune ondate è stata osservata l'arte SVG in stile "modale" azzurro con bordi tratteggiati come elemento di distrazione visiva durante l'esecuzione in background.

Manuale di rilevamento (SOC/IR)

• Filtraggio e-mail/allegati: Tratta gli SVG come contenuto attivo. Abilita l'ispezione approfondita dei contenuti e la detonazione sandbox per SVG; bloccare o mettere in quarantena quando la giustificazione aziendale è debole.
• Telemetria comportamentale: Avviso sui reindirizzamenti lato client dai rendering SVG; Ricostruzione/valutazione JavaScript in contesti SVG; Blocco degli strumenti di sviluppo e soppressione del clic destro sulle pagine raggiunte dopo SVG.
• Monitoraggio della rete: Segnala domini non familiari corrispondenti segy* e cluster di kit simili. Ispezionare le sequenze di 302 che culminano in host simili a M365.
• Intelligence sulle minacce: Arricchire continuamente con nuovi IOC, e ruotare da un singolo artefatto (modello di dominio, hash, percorso di atterraggio) alle infrastrutture correlate.

Prevenzione & Indurimento (Leader della sicurezza)

• Applicare MFA e Zero Trust in modo efficace: Accesso condizionale, valutazione del rischio di accesso, e i metodi resistenti al phishing limitano l'utilità delle credenziali anche se raccolte.
• Minimo privilegio & segmentazione: Ridurre il raggio di esplosione quando un'identità è compromessa.
• Politica di allegato: Sanificare o bloccare i formati rischiosi (incluso SVG) per i gruppi che non ne hanno bisogno; preferisco spettatori sicuri che eliminano i contenuti attivi.
• Controlli dell'esperienza utente: Considerare le policy client/server di posta che sopprimono il rendering SVG in linea; spiegare agli utenti che i file "immagine" possono eseguire la logica.
• Prontezza di risposta: Esercitati con il blocco/reimpostazione dell'account, Recensione dell'app OAuth, eliminazione delle regole della casella di posta, e revoca del token per sospetti incidenti di phishing.

Lista di controllo per il triage rapido

• Cerca nelle caselle di posta, gateway, e EDR per gli allegati SVG consegnati entro la finestra di avviso.
• Cerca catene di reindirizzamento in cui il primo referente è locale file:// o visualizzazione SVG dell'origine dell'email.
• Interroga proxy/DNS per segy* ricerche, e per i POST a /api/validate / /api/login su domini non Microsoft.
• Ispeziona le pagine sospette per la soppressione di widget anti-bot e strumenti di sviluppo; cattura DOM per recuperare script offuscati.
• Reimposta gli account interessati, revocare sessioni/token, rivedere le regole della casella di posta e le concessioni OAuth, e abilitare/migliorare MFA.

Riferimenti & Ulteriori letture

• Panoramica di ANY.RUN su Tykit e IOC correlati — “Tykit: Panoramica del kit di phishing”
• Analisi della campagna ANY.RUN in tutti i settori — Analisi Tykit: Nuovo kit di phishing…”
• Rapporto sull'attrattiva SVG e sulla coerenza del modello di Tykit — Copertura mondiale SC
• Contesto: Perché SVG è attraente per i phisher — Ricerca su Cloudflare
• Contesto Microsoft/industriale su SVG-phish e anti-bot gate — Microsoft Threat Intelligence, TechRadar (Modifica SVG di Outlook)

Campioni Tykit e IOC: Inizia i pivot con il modello domainName:"segy*" nella tua piattaforma di intelligence sulle minacce. Disattivare i domini durante la condivisione, e arricchire con DNS passivo, Certificati TLS, e sovrapposizioni WHOIS.

Hai nuovi campioni Tykit o nuovi IOC?? Lasciaci una segnalazione su Sensorstechforum.com.

Ventsislav Krastev

Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.

Altri messaggi - Sito web

Seguimi: