Plate-forme de phishing en tant que service (Paas) Tycoon 2 FA, connue pour contourner l’authentification multifacteur sur les comptes Microsoft 365 et Gmail, a reçu des mises à jour qui améliorent ses capacités de furtivité et d’évasion.
Tycoon 2 FA a été découvert en octobre 2023 par des chercheurs de Sekoia, qui ont par la suite signalé des mises à jour importantes sur le kit de phishing qui ont augmenté sa sophistication et son efficacité.
Trustwave rapporte maintenant que les acteurs de la menace Tycoon 2FA ont ajouté plusieurs améliorations qui renforcent la capacité du kit à contourner les protections de détection et de sécurité des terminaux.
Le premier changement mis en évidence est l’utilisation de caractères Unicode invisibles pour masquer les données binaires dans JavaScript, comme l’a signalé pour la première fois Juniper Threat Labs en février. Cette tactique permet à la charge utile d’être décodée et exécutée normalement au moment de l’exécution tout en évitant l’analyse manuelle (humaine) et statique de correspondance de motifs.
Le deuxième développement est le passage du tourniquet Cloudflare à un CAPTCHA auto-hébergé rendu via HTML5 canvas avec des éléments aléatoires.
Probablement, les créateurs de Tycoon 2FA ont opté pour ce changement pour échapper aux empreintes digitales et au signalement par les systèmes de réputation de domaine et obtenir un meilleur contrôle de personnalisation sur le contenu de la page.
Le troisième changement majeur est l’inclusion de JavaScript anti-débogage qui détecte les outils d’automatisation du navigateur comme PhantomJS et Burp Suite et bloque certaines actions associées à l’analyse.
Lorsqu’une activité suspecte est détectée ou que le CAPTCHA échoue( indication potentielle de robots de sécurité), l’utilisateur reçoit une page leurre ou est redirigé vers un site Web légitime comme rakuten.com.
Trustwave souligne que bien que ces techniques d’évasion ne soient pas nouvelles individuellement, elles font une grande différence lorsqu’elles sont combinées, compliquant la détection et l’analyse qui peuvent révéler l’infrastructure de phishing et entraîner des suppressions et des perturbations.
Les leurres SVG déferlent
Dans un rapport distinct mais connexe, Trustwave indique avoir identifié une augmentation spectaculaire des attaques de phishing utilisant des fichiers SVG malveillants( Graphiques vectoriels évolutifs), entraînés par des plates-formes PhaaS telles que Tycoon2FA, Mamba2FA et Sneaky2FA.
La firme de cybersécurité signale une forte augmentation de 1 800% d’avril 2024 à mars 2025, indiquant un changement clair de tactique en faveur du format de fichier particulier.
Les SVG malveillants utilisés dans les attaques de phishing concernent des images déguisées en messages vocaux, logos ou icônes de documents en nuage. Cependant, les fichiers SVG peuvent également contenir du JavaScript, qui est automatiquement déclenché lorsque l’image est rendue dans les navigateurs.
Ce code est obscurci à l’aide de l’encodage base64, ROT13, du cryptage XOR et du code indésirable, de sorte que la détection est moins probable.
La fonction du code malveillant est de rediriger les destinataires du message vers des pages de phishing Microsoft 365 qui volent les informations d’identification de leur compte.
Une étude de cas présentée dans le rapport Trustwave concerne une fausse alerte de messagerie vocale Microsoft Teams avec une pièce jointe de fichier SVG déguisée en message audio. Cliquer dessus ouvre un navigateur externe qui exécute JavaScript, redirigeant vers une fausse page de connexion Office 365.
La montée en puissance des plateformes PhaaS et du phishing basé sur SVG appelle à une vigilance accrue et à la nécessité d’une vérification de l’authenticité de l’expéditeur.
Une mesure de défense efficace consiste à bloquer ou à signaler les pièces jointes SVG dans les passerelles de messagerie et à utiliser des méthodes MFA résistantes au phishing comme les appareils FIDO-2.