Tykit – Novo kit de phishing SVG rouba dados da Microsoft. 365 logins

Investigação do Sensorstechforum.com — Um serviço de phishing recentemente descoberto (PhaaS) kit apelidado Tykit vem utilizando acessórios SVG como armas desde maio. 2025 para roubar informações corporativas da Microsoft 365 credenciais. O kit combina redirecionamento em vários estágios., JavaScript fortemente ofuscado, e verificações anti-robôs para evitar varreduras automatizadas., direcionar as vítimas para portais de login da Microsoft falsificados de forma convincente..

Por que usar arquivos SVG?? O vetor “imagem” mal compreendido

• SVG é baseado em XML e pode legalmente incluir scripts e manipuladores de eventos.. Os atacantes incorporam JavaScript que é executado ao abrir/visualizar o conteúdo., Transformar um gráfico aparentemente inofensivo em um redirecionador ou em uma página de phishing completa..
• Muitos gateways de e-mail seguros e filtros de anexos ainda tratam SVGs como imagens estáticas., Realizar verificações MIME superficiais em vez de inspeção profunda de conteúdo., o que ajuda amostras maliciosas a passarem despercebidas.
• Monitoramento do setor em 2025 destacou um aumento repentino de iscas baseadas em SVG em caixas de correio corporativas., provocando alterações na plataforma e novas detecções.

Anatomia de um ataque de Tykit

• Palco 1 — Entrega via SVG: A isca do e-mail (fatura, comprovante de pagamento, ativo do projeto) contém um anexo ou link SVG. Dentro, O atacante oculta um código JavaScript que se reconstrói em tempo de execução. (v.g., Técnicas XOR/de divisão de strings) e dispara um redirecionamento silencioso quando aberto..
• Palco 2 — Redirecionamento para “Trampolim”: As vítimas são encaminhadas para uma página intermediária. ("trampolim") que executa verificações leves e, às vezes, exibe uma mensagem de isca. (v.g., “entre no último 4 dígitos do seu telefone”). A URL parametrizada geralmente inclui um e-mail codificado em base64 para personalizar o fluxo..
• Palco 3 — Portal anti-bot: A cadeia geralmente exibe um widget anti-automação. (v.g., Catraca Cloudflare) para dificultar a identificação pelos scanners e criar legitimidade antes da entrega final..
• Palco 4 — Microsoft falsa 365 Conecte-se: Uma página de réplica refinada valida os formatos de e-mail e incentiva os usuários a inserirem novamente as credenciais caso estejam "incorretas".
• Palco 5 — Exfiltração em tempo real: As credenciais são enviadas para as APIs do atacante. (v.g., /api/validate, /api/login), com respostas que orientam a jornada do usuário (sucesso, erro, ou tente novamente). A sobreposição de infraestrutura observada entre as campanhas indica a reutilização de um kit compartilhado..

O que está em jogo

• Roubo de credenciais → comprometimento subsequente: O email, onedrive, SharePoint, Equipes, e outras cargas de trabalho do M365 tornam-se acessíveis a intrusos.
• Negócios mail Compromise (BEC): Contas roubadas alimentam ataques internos de phishing direcionados., fraude de fatura, e personificação de executivos.
• Movimento lateral: Os atacantes utilizam credenciais válidas para se movimentarem rapidamente., escalar privilégios, e realizar ataques de ransomware ou roubo de dados.

Indicadores conhecidos & Padrões (Desarmado)

• Padrão de domínio: segy* — sequências recorrentes em domínios C2/exfil do Tykit (v.g., segy[.]example), Útil para pivotar e retroceder.
• Artefatos de arquivo: SVGs com conteúdo incorporado, JavaScript ofuscado; reconstrução frequente em tempo de execução (v.g., XOR); uso de eval após decodificar.
• Comportamento de rede: Redirecionamentos de múltiplos saltos; solicitações POST para /api/validate e /api/login pontos finais; endpoints de registro secundários ocasionais como /x.php.
• UX diz: Arte SVG em estilo "modal" azul claro com bordas tracejadas foi observada em algumas ondas como um elemento visual de distração durante a execução do plano de fundo..

Manual de Detecção (SOC/IR)

• Filtragem de e-mails/anexos: Trate os SVGs como conteúdo ativo.. Ativar inspeção profunda de conteúdo e detonação em sandbox para SVGs; Bloquear ou impor quarentena onde a justificativa comercial for frágil..
• Telemetria comportamental: Alerta sobre redirecionamentos do lado do cliente a partir de renderizações SVG; Reconstrução/avaliação em JavaScript em contextos SVG; O bloqueio das ferramentas de desenvolvedor e a supressão do clique com o botão direito em páginas foram implementados após a implementação do SVG..
• Monitoramento de rede: Sinalizar domínios desconhecidos correspondentes segy* e conjuntos de kits semelhantes. Inspecionar sequências de 302s que culminam em hospedeiros semelhantes ao M365..
• Inteligência de ameaças: Enriquecer continuamente com COIs frescos, e pivotar a partir de um único artefato (padrão de domínio, cerquilha, caminho de aterrissagem) à infraestrutura relacionada.

Prevenção & Endurecimento (Líderes de Segurança)

• Implemente MFA robusto e Zero Trust.: Acesso condicional, avaliação de risco de login, e métodos resistentes a phishing limitam a utilidade das credenciais, mesmo que sejam coletadas..
• Privilégios mínimos & segmentação: Reduzir o raio de impacto quando uma identidade é comprometida.
• Política de anexação: Higienize ou bloqueie formatos de risco. (incluindo SVG) para grupos que não precisam deles; Prefiro visualizadores seguros que removam conteúdo ativo..
• Controles de experiência do usuário: Considere políticas de cliente/servidor de e-mail que suprimam a renderização de SVG embutido.; Educar os usuários sobre o fato de que arquivos de "imagem" podem executar lógica..
• prontidão de resposta: Bloqueio/redefinição da conta de treino, Análise do aplicativo OAuth, regra de limpeza da caixa de correio, e revogação de tokens em casos suspeitos de phishing..

Lista de verificação de triagem rápida

• Pesquisar caixas de correio, entradas, e EDR para anexos SVG entregues em torno da janela de alerta..
• Procure por cadeias de redirecionamento onde o primeiro referenciador seja um site local. file:// ou visualização SVG de origem do e-mail.
• Consultar proxy/DNS para segy* pesquisas, e para POSTs para /api/validate / /api/login em domínios que não sejam da Microsoft.
• Inspecione páginas suspeitas em busca de widgets anti-bot e supressão de ferramentas de desenvolvedor.; Capturar o DOM para recuperar scripts ofuscados.
• Redefinir contas afetadas, revogar sessões/tokens, Revisar regras de caixa de correio e concessões OAuth, e habilitar/reforçar a MFA.

Referências & Leitura complementar

• Visão geral do ANY.RUN sobre o Tykit e indicadores de comprometimento (IOCs) relacionados — “Tykit: Visão geral do kit de phishing
• Análise da campanha ANY.RUN em diversos setores — Análise do Tykit: Novo kit de phishing…
• Relatório sobre a consistência dos modelos e iscas SVG do Tykit — Cobertura da SC World
• Contexto: Por que o SVG é atraente para golpistas — Pesquisa da Cloudflare
• Contexto da Microsoft/indústria sobre SVG-phishing e medidas anti-bot — Inteligência de Ameaças da Microsoft, TechRadar (Alteração do SVG no Outlook)

Amostras Tykit e COIs: Comece os pivôs com o padrão domainName:"segy*" em sua plataforma de inteligência de ameaças. Domínios desarmados ao compartilhar, e enriquecer com DNS passivo, Certificados TLS, e sobreposições de WHOIS.

Recebemos novas amostras da Tykit ou novos COIs?? Envie-nos uma dica em Sensorstechforum.com.

Ventsislav Krastev

Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.

mais Posts - Local na rede Internet

Me siga: