Des pirates volent vos comptes Gmail et Microsoft 365 grâce à cette nouvelle technique d’hameçonnage

Une nouvelle plateforme sophistiquée de phishing en tant que service, baptisée “Tycoon 2FA”, gagne en popularité auprès des cybercriminels en raison de sa capacité à contourner l’authentification multifactorielle et à voler les identifiants de connexion aux comptes Microsoft 365 et Gmail.

Les chercheurs ont repéré des milliers d’attaques de phishing utilisant une nouvelle « boîte à outils » depuis son apparition en août dernier. Tycoon 2FA a été découvert par les analystes de la société de cybersécurité Sekoia lors d’une surveillance de routine des menaces en octobre 2023.

Cependant, les preuves suggèrent que les opérateurs du kit d’hameçonnage, supposés être le groupe de menace “Saad Tycoon”, avaient déjà commencé à le distribuer commercialement par le biais de canaux Telegram privés quelques mois auparavant.

COMMENT FONCTIONNE CETTE NOUVELLE MÉTHODE DE PHISHING ?

Le kit semble partager certains codes avec d’autres plateformes d’hameçonnage de type “adversary-in-the-middle” (AitM) telles que Dadsec OTT, ce qui pourrait être dû à la réutilisation de codes ou à une collaboration entre les développeurs. Mais Tycoon 2FA a continué d’évoluer, avec une nouvelle version publiée au début de l’année 2024 qui présente d’importantes améliorations en matière de furtivité.

À la base, Tycoon 2FA permet aux acteurs de la menace de voler des cookies d’authentification en utilisant des sites de phishing qui imitent les flux de connexion légitimes – y compris les invites d’authentification multifactorielle de Microsoft et de Google. Cela permet à l’attaquant d’intercepter secrètement la réponse de l’authentification à facteurs multiples (MFA) de la victime et les jetons de session, puis de rejouer une session authentifiée et de contourner entièrement le MFA.

L’analyse de Sekoia décompose les attaques de phishing Tycoon 2FA en un processus en plusieurs étapes :

  • Les leurres distribuent des liens d’hameçonnage par courriel, codes QR, etc. qui incitent les utilisateurs à se rendre sur de faux portails de connexion.
  • Les filtres anti-bots tels que Cloudflare Turnstile n’autorisent que les interactions humaines.
  • L’analyse de l’URL extrait l’e-mail de la cible pour personnaliser l’attaque de phishing.
  • Les utilisateurs sont discrètement redirigés plus profondément dans l’infrastructure de phishing.
  • Une page de connexion Microsoft réaliste capture les informations d’identification via une exfiltration WebSocket.
  • L’étape d’interception du MFA contourne le 2FA en siphonnant les jetons à usage unique ou les codes de l’application d’authentification.
  • Enfin, les victimes se voient présenter un domaine d’apparence légitime afin de dissimuler les traces de l’attaque.

LES PIRATES ÉCHAPPENT AUX ANTIVIRUS EN METTANT À JOUR LE SYSTÈME

La dernière version de Tycoon 2FA, publiée en 2024, intègre de nombreuses améliorations qui permettent d’échapper à la détection par la plupart des antivirus. Elle retarde notamment la récupération des composants malveillants après le filtrage des robots, utilise des URL pseudo-aléatoires et améliore le filtrage du trafic en fonction des agents utilisateurs et des adresses IP des centres de données.

Mot de passe passkeys
Crédit photo : 123RF

Les preuves fournies par Sekoia indiquent que les acteurs de la menace qui exploitent Tycoon 2FA maintiennent une vaste infrastructure d’hameçonnage couvrant plus de 1 100 domaines. L’analyse de la blockchain révèle également que le portefeuille Bitcoin du groupe lié aux ventes de kits de phishing a engrangé près de 400 000 dollars de paiements en cryptomonnaie depuis octobre 2019, avec plus de 1 800 transactions totales suivies.

Les chercheurs notent que Tycoon 2FA n’est qu’un ajout récent à un marché du crime de phishing-as-a-service de plus en plus saturé, fournissant aux cybercriminels des outils efficaces pour vaincre l’authentification multifactorielle. D’autres kits de phishing permettant de contourner l’authentification multifactorielle, tels que LabHost, Greatness et Robin Banks, ont également gagné en notoriété dans le monde clandestin au cours de l’année écoulée.

Alors que les entreprises légitimes adoptent de plus en plus l’authentification multifactorielle comme base de sécurité, les kits d’hameçonnage capables de contourner ce contrôle critique sont devenus une denrée rare pour les cybercriminels. Leur évolution continue représente un risque sérieux pour les informations d’identification et les données des entreprises.

Pour se protéger contre Tycoon 2FA et les menaces d’hameçonnage similaires, les entreprises doivent intensifier la formation des utilisateurs à l’identification des portails de connexion et des invites MFA suspectes. Il est également essentiel de surveiller les événements d’authentification suspects et les comptes potentiellement compromis. L’activation de facteurs MFA supplémentaires, tels que les clés de sécurité physiques ou les jetons FIDO, peut également contribuer à atténuer certains des risques posés par les attaques de phishing avancées visant à intercepter les codes à usage unique.

source: phonandroid


De faux comptes vendent la cryptomonnaie libra avant même son lancement par Facebook
Informatique

De faux comptes vendent la cryptomonnaie libra avant même son lancement par Facebook

...
Lire la suite
Equifax devra verser 750 M$ pour avoir mal protégé les données de clients américains
Sécurité informatique

Equifax devra verser 750 M$ pour avoir mal protégé les données de clients américains

...
Lire la suite
Trois astuces pour vous aider à choisir vos vacances grâce aux réseaux sociaux
Astuces

Trois astuces pour vous aider à choisir vos vacances grâce aux réseaux sociaux

...
Lire la suite
Comment utiliser le nouveau Dropbox ?
Astuces

Comment utiliser le nouveau Dropbox ?

...
Lire la suite
Comment libérer de l’espace sur votre iPhone ?
Astuces

Comment libérer de l’espace sur votre iPhone ?

...
Lire la suite
Spotify exploite enfin le partage d’écran sur l’iPad
Divers

Spotify exploite enfin le partage d’écran sur l’iPad

...
Lire la suite
FaceApp, créée en Russie, inquiète les hauts responsables démocrates américains
Sécurité informatique

FaceApp, créée en Russie, inquiète les hauts responsables démocrates américains

...
Lire la suite
Comment protéger les mots de passe stockés dans Chrome et Firefox
Astuces

Comment protéger les mots de passe stockés dans Chrome et Firefox

...
Lire la suite
La révolution Amazon fête ses 25 ans
Divers

La révolution Amazon fête ses 25 ans

...
Lire la suite
L’inventeur du mot de passe informatique est mort
Informatique

L’inventeur du mot de passe informatique est mort

...
Lire la suite
Windows 10 : Alexa pourra bientôt être activé depuis l’écran de verrouillage
Technologie

Windows 10 : Alexa pourra bientôt être activé depuis l’écran de verrouillage

...
Lire la suite
Pourquoi il ne faut jamais faire confiance aux hotspots Wi-Fi
Sécurité informatique

Pourquoi il ne faut jamais faire confiance aux hotspots Wi-Fi

...
Lire la suite
Les réseaux sociaux et la télévision amplifient la dépression des adolescents (mais pas les jeux vidéo)
Réseaux sociaux

Les réseaux sociaux et la télévision amplifient la dépression des adolescents (mais pas les jeux vidéo)

...
Lire la suite
Neuralink : Elon Musk prêt à brancher un cerveau sur un ordinateur
Science

Neuralink : Elon Musk prêt à brancher un cerveau sur un ordinateur

...
Lire la suite
1 34 35 36