Une nouvelle plateforme sophistiquée de phishing en tant que service, baptisée “Tycoon 2FA”, gagne en popularité auprès des cybercriminels en raison de sa capacité à contourner l'authentification multifactorielle et à voler les identifiants de connexion aux comptes Microsoft 365 et Gmail.

Les chercheurs ont repéré des milliers d'attaques de phishing utilisant une nouvelle « boîte à outils » depuis son apparition en août dernier. Tycoon 2FA a été découvert par les analystes de la société de cybersécurité Sekoia lors d'une surveillance de routine des menaces en octobre 2023.

Cependant, les preuves suggèrent que les opérateurs du kit d'hameçonnage, supposés être le groupe de menace “Saad Tycoon”, avaient déjà commencé à le distribuer commercialement par le biais de canaux Telegram privés quelques mois auparavant.

Comment fonctionne cette nouvelle méthode de phishing ?

Le kit semble partager certains codes avec d'autres plateformes d'hameçonnage de type “adversary-in-the-middle” (AitM) telles que Dadsec OTT, ce qui pourrait être dû à la réutilisation de codes ou à une collaboration entre les développeurs. Mais Tycoon 2FA a continué d'évoluer, avec une nouvelle version publiée au début de l'année 2024 qui présente d'importantes améliorations en matière de furtivité.

À la base, Tycoon 2FA permet aux acteurs de la menace de voler des cookies d'authentification en utilisant des sites de phishing qui imitent les flux de connexion légitimes – y compris les invites d'authentification multifactorielle de Microsoft et de Google. Cela permet à l'attaquant d'intercepter secrètement la réponse de l’authentification à facteurs multiples (MFA) de la victime et les jetons de session, puis de rejouer une session authentifiée et de contourner entièrement le MFA.

L'analyse de Sekoia décompose les attaques de phishing Tycoon 2FA en un processus en plusieurs étapes :

• Les leurres distribuent des liens d'hameçonnage par courriel, codes QR, etc. qui incitent les utilisateurs à se rendre sur de faux portails de connexion.
• Les filtres anti-bots tels que Cloudflare Turnstile n'autorisent que les interactions humaines.
• L'analyse de l'URL extrait l'e-mail de la cible pour personnaliser l'attaque de phishing.
• Les utilisateurs sont discrètement redirigés plus profondément dans l'infrastructure de phishing.
• Une page de connexion Microsoft réaliste capture les informations d'identification via une exfiltration WebSocket.
• L'étape d'interception du MFA contourne le 2FA en siphonnant les jetons à usage unique ou les codes de l'application d'authentification.
• Enfin, les victimes se voient présenter un domaine d'apparence légitime afin de dissimuler les traces de l'attaque.

Les pirates échappent aux antivirus en mettant à jour le système

La dernière version de Tycoon 2FA, publiée en 2024, intègre de nombreuses améliorations qui permettent d'échapper à la détection par la plupart des antivirus. Elle retarde notamment la récupération des composants malveillants après le filtrage des robots, utilise des URL pseudo-aléatoires et améliore le filtrage du trafic en fonction des agents utilisateurs et des adresses IP des centres de données.

Les preuves fournies par Sekoia indiquent que les acteurs de la menace qui exploitent Tycoon 2FA maintiennent une vaste infrastructure d'hameçonnage couvrant plus de 1 100 domaines. L'analyse de la blockchain révèle également que le portefeuille Bitcoin du groupe lié aux ventes de kits de phishing a engrangé près de 400 000 dollars de paiements en cryptomonnaie depuis octobre 2019, avec plus de 1 800 transactions totales suivies.

Les chercheurs notent que Tycoon 2FA n'est qu'un ajout récent à un marché du crime de phishing-as-a-service de plus en plus saturé, fournissant aux cybercriminels des outils efficaces pour vaincre l'authentification multifactorielle. D'autres kits de phishing permettant de contourner l'authentification multifactorielle, tels que LabHost, Greatness et Robin Banks, ont également gagné en notoriété dans le monde clandestin au cours de l'année écoulée.

Alors que les entreprises légitimes adoptent de plus en plus l'authentification multifactorielle comme base de sécurité, les kits d'hameçonnage capables de contourner ce contrôle critique sont devenus une denrée rare pour les cybercriminels. Leur évolution continue représente un risque sérieux pour les informations d'identification et les données des entreprises.

Pour se protéger contre Tycoon 2FA et les menaces d'hameçonnage similaires, les entreprises doivent intensifier la formation des utilisateurs à l'identification des portails de connexion et des invites MFA suspectes. Il est également essentiel de surveiller les événements d'authentification suspects et les comptes potentiellement compromis. L'activation de facteurs MFA supplémentaires, tels que les clés de sécurité physiques ou les jetons FIDO, peut également contribuer à atténuer certains des risques posés par les attaques de phishing avancées visant à intercepter les codes à usage unique.