Des pirates volent vos comptes Gmail et Microsoft 365 grâce à cette nouvelle technique d’hameçonnage

Une nouvelle plateforme sophistiquée de phishing en tant que service, baptisée “Tycoon 2FA”, gagne en popularité auprès des cybercriminels en raison de sa capacité à contourner l’authentification multifactorielle et à voler les identifiants de connexion aux comptes Microsoft 365 et Gmail.

Les chercheurs ont repéré des milliers d’attaques de phishing utilisant une nouvelle « boîte à outils » depuis son apparition en août dernier. Tycoon 2FA a été découvert par les analystes de la société de cybersécurité Sekoia lors d’une surveillance de routine des menaces en octobre 2023.

Cependant, les preuves suggèrent que les opérateurs du kit d’hameçonnage, supposés être le groupe de menace “Saad Tycoon”, avaient déjà commencé à le distribuer commercialement par le biais de canaux Telegram privés quelques mois auparavant.

COMMENT FONCTIONNE CETTE NOUVELLE MÉTHODE DE PHISHING ?

Le kit semble partager certains codes avec d’autres plateformes d’hameçonnage de type “adversary-in-the-middle” (AitM) telles que Dadsec OTT, ce qui pourrait être dû à la réutilisation de codes ou à une collaboration entre les développeurs. Mais Tycoon 2FA a continué d’évoluer, avec une nouvelle version publiée au début de l’année 2024 qui présente d’importantes améliorations en matière de furtivité.

À la base, Tycoon 2FA permet aux acteurs de la menace de voler des cookies d’authentification en utilisant des sites de phishing qui imitent les flux de connexion légitimes – y compris les invites d’authentification multifactorielle de Microsoft et de Google. Cela permet à l’attaquant d’intercepter secrètement la réponse de l’authentification à facteurs multiples (MFA) de la victime et les jetons de session, puis de rejouer une session authentifiée et de contourner entièrement le MFA.

L’analyse de Sekoia décompose les attaques de phishing Tycoon 2FA en un processus en plusieurs étapes :

  • Les leurres distribuent des liens d’hameçonnage par courriel, codes QR, etc. qui incitent les utilisateurs à se rendre sur de faux portails de connexion.
  • Les filtres anti-bots tels que Cloudflare Turnstile n’autorisent que les interactions humaines.
  • L’analyse de l’URL extrait l’e-mail de la cible pour personnaliser l’attaque de phishing.
  • Les utilisateurs sont discrètement redirigés plus profondément dans l’infrastructure de phishing.
  • Une page de connexion Microsoft réaliste capture les informations d’identification via une exfiltration WebSocket.
  • L’étape d’interception du MFA contourne le 2FA en siphonnant les jetons à usage unique ou les codes de l’application d’authentification.
  • Enfin, les victimes se voient présenter un domaine d’apparence légitime afin de dissimuler les traces de l’attaque.

LES PIRATES ÉCHAPPENT AUX ANTIVIRUS EN METTANT À JOUR LE SYSTÈME

La dernière version de Tycoon 2FA, publiée en 2024, intègre de nombreuses améliorations qui permettent d’échapper à la détection par la plupart des antivirus. Elle retarde notamment la récupération des composants malveillants après le filtrage des robots, utilise des URL pseudo-aléatoires et améliore le filtrage du trafic en fonction des agents utilisateurs et des adresses IP des centres de données.

Mot de passe passkeys
Crédit photo : 123RF

Les preuves fournies par Sekoia indiquent que les acteurs de la menace qui exploitent Tycoon 2FA maintiennent une vaste infrastructure d’hameçonnage couvrant plus de 1 100 domaines. L’analyse de la blockchain révèle également que le portefeuille Bitcoin du groupe lié aux ventes de kits de phishing a engrangé près de 400 000 dollars de paiements en cryptomonnaie depuis octobre 2019, avec plus de 1 800 transactions totales suivies.

Les chercheurs notent que Tycoon 2FA n’est qu’un ajout récent à un marché du crime de phishing-as-a-service de plus en plus saturé, fournissant aux cybercriminels des outils efficaces pour vaincre l’authentification multifactorielle. D’autres kits de phishing permettant de contourner l’authentification multifactorielle, tels que LabHost, Greatness et Robin Banks, ont également gagné en notoriété dans le monde clandestin au cours de l’année écoulée.

Alors que les entreprises légitimes adoptent de plus en plus l’authentification multifactorielle comme base de sécurité, les kits d’hameçonnage capables de contourner ce contrôle critique sont devenus une denrée rare pour les cybercriminels. Leur évolution continue représente un risque sérieux pour les informations d’identification et les données des entreprises.

Pour se protéger contre Tycoon 2FA et les menaces d’hameçonnage similaires, les entreprises doivent intensifier la formation des utilisateurs à l’identification des portails de connexion et des invites MFA suspectes. Il est également essentiel de surveiller les événements d’authentification suspects et les comptes potentiellement compromis. L’activation de facteurs MFA supplémentaires, tels que les clés de sécurité physiques ou les jetons FIDO, peut également contribuer à atténuer certains des risques posés par les attaques de phishing avancées visant à intercepter les codes à usage unique.

source: phonandroid


Windows 11 : comment désinstaller le panneau de widgets
Astuces

Windows 11 : comment désinstaller le panneau de widgets

...
Lire la suite
Windows 11 : l’Explorateur de fichiers pourra bientôt afficher les fichiers de votre téléphone Android
Téléphone mobile

Windows 11 : l’Explorateur de fichiers pourra bientôt afficher les fichiers de votre téléphone Android

...
Lire la suite
Pourquoi une vague de fuites de données menace de s’abattre sur le web
Sécurité informatique

Pourquoi une vague de fuites de données menace de s’abattre sur le web

...
Lire la suite
Ce portable à double écran Oled est si malin qu’on se demande pourquoi personne n’y avait pensé avant
Divers Technologie

Ce portable à double écran Oled est si malin qu’on se demande pourquoi personne n’y avait pensé avant

...
Lire la suite
Android 15 : jusqu’à 3 heures d’autonomie en plus grâce à cette nouvelle optimisation
Divers Téléphone mobile

Android 15 : jusqu’à 3 heures d’autonomie en plus grâce à cette nouvelle optimisation

...
Lire la suite
Windows 11 : comment désactiver les publicités Microsoft sur votre PC
Astuces Informatique

Windows 11 : comment désactiver les publicités Microsoft sur votre PC

...
Lire la suite
Vous utilisez encore Windows XP en 2024 ? Voici pourquoi c’est une mauvaise idée
Sécurité informatique

Vous utilisez encore Windows XP en 2024 ? Voici pourquoi c’est une mauvaise idée

...
Lire la suite
Dell victime d’une cyberattaque : les données de 49 millions de clients ont été volées
Sécurité informatique

Dell victime d’une cyberattaque : les données de 49 millions de clients ont été volées

...
Lire la suite
Cette batterie sans lithium permet de recharger une voiture électrique en 1 minute seulement
Technologie

Cette batterie sans lithium permet de recharger une voiture électrique en 1 minute seulement

...
Lire la suite
Le Japon développe le premier appareil 6G au monde, 20 fois plus rapide que la 5G
Technologie

Le Japon développe le premier appareil 6G au monde, 20 fois plus rapide que la 5G

...
Lire la suite
Arrêtez de fermer les applications sur votre iPhone, sauf dans ce cas précis
Astuces Téléphone mobile

Arrêtez de fermer les applications sur votre iPhone, sauf dans ce cas précis

...
Lire la suite
Des pirates volent vos comptes Gmail et Microsoft 365 grâce à cette nouvelle technique d’hameçonnage
Divers Insolite Sécurité informatique

Des pirates volent vos comptes Gmail et Microsoft 365 grâce à cette nouvelle technique d’hameçonnage

...
Lire la suite
Cette nouvelle percée en informatique a tout d’une future révolution
Technologie

Cette nouvelle percée en informatique a tout d’une future révolution

...
Lire la suite
Apple et Google pourraient signer un deal historique pour amener Gemini sur iPhone
Technologie Téléphone mobile

Apple et Google pourraient signer un deal historique pour amener Gemini sur iPhone

...
Lire la suite
Les écouteurs sans fil de Samsung pourront traduire en direct grâce à l’IA
Divers Technologie

Les écouteurs sans fil de Samsung pourront traduire en direct grâce à l’IA

...
Lire la suite
Windows : un dangereux virus que (presque) rien n’arrête cible les PC
Sécurité informatique

Windows : un dangereux virus que (presque) rien n’arrête cible les PC

...
Lire la suite
Windows 11 prendra bientôt en charge l’USB 4 à 80 Gbit/s
Informatique Technologie

Windows 11 prendra bientôt en charge l’USB 4 à 80 Gbit/s

...
Lire la suite
Ce PC Asus avec deux écrans OLED veut séduire les pros
Technologie

Ce PC Asus avec deux écrans OLED veut séduire les pros

...
Lire la suite
Des batteries quantiques chargées en défiant la causalité et notre notion du temps
Technologie

Des batteries quantiques chargées en défiant la causalité et notre notion du temps

...
Lire la suite
Une petite révolution se prépare dans la RAM de nos ordinateurs portables
Technologie

Une petite révolution se prépare dans la RAM de nos ordinateurs portables

...
Lire la suite
1 2 3 36