Coalizão derruba phishing-as-a-service do Tycoon 2FA

Uma coalizão global liderada pela Microsoft, em parceria com a Europol e empresas de segurança, desativou a infraestrutura do Tycoon 2FA, um sofisticado serviço de phishing as a service responsável por ataques a mais de 500 mil organizações mensalmente. A ação, anunciada ontem no blog oficial da Microsoft, baseou-se em uma ordem judicial do Distrito Sul de Nova York.

Infraestrutura e escala da operação

De acordo com o comunicado, a Microsoft derrubou 330 domínios ativos que sustentavam os painéis de controle e páginas de login fraudulentas do Tycoon 2FA. Ativo desde pelo menos 2023, o serviço se destacava por conseguir burlar a autenticação multifator (MFA), permitindo que criminosos assumissem contas do Microsoft 365, Outlook e Gmail sem disparar alertas de segurança. Até meados de 2025, o Tycoon 2FA respondia por aproximadamente 62% de todas as tentativas de phishing bloqueadas pela Microsoft, chegando a mais de 30 milhões de e-mails fraudulentos em um único mês.

Impacto humano e setorial

O serviço está ligado a cerca de 96 mil vítimas de phishing em todo o mundo desde 2023, das quais mais de 55 mil eram clientes da Microsoft. Os setores de saúde e educação foram os mais atingidos. Mais de 100 membros do Health-ISAC, um grupo global de compartilhamento de ameaças para o setor de saúde, foram alvos bem-sucedidos. Somente em Nova York, pelo menos dois hospitais, seis escolas municipais e três universidades enfrentaram tentativas ou comprometimentos reais por meio do Tycoon 2FA, resultando em interrupções operacionais e atrasos no atendimento a pacientes.

O ecossistema da impersonação

A Microsoft detalha que o Tycoon 2FA operava como um negócio dentro de um ecossistema mais amplo de “impersonação como serviço”. O principal desenvolvedor, identificado como Saad Fridi, supostamente baseado no Paquistão, trabalhava com parceiros responsáveis por marketing, pagamentos e suporte técnico. Criminosos combinavam o Tycoon 2FA com outros serviços ilícitos, como o RedVDS (já desarticulado pela Microsoft em janeiro), para entregar campanhas em larga escala.

Ação coordenada global

A operação envolveu agências de aplicação da lei na Letônia, Lituânia, Portugal, Polônia, Espanha e Reino Unido, que realizaram apreensões de infraestrutura. Parceiros da indústria como Proofpoint, Intel 471, eSentire, Cloudflare, Health-ISAC, SpyCloud, Resecurity e Coinbase contribuíram com inteligência, dados de vítimas e rastreamento de fluxos financeiros. A Shadowserver Foundation apoiou com notificações a mais de 200 equipes de resposta a emergências computacionais (CERTs) em todo o mundo.