Les cybercriminels utilisent de plus en plus une nouvelle plate-forme de phishing en tant que service (Paas) nommée « Tycoon 2FA » pour cibler les comptes Microsoft 365 et Gmail et contourner la protection par authentification à deux facteurs (2FA).

Tycoon 2FA a été découvert par les analystes de Sekoia en octobre 2023 lors d’une chasse aux menaces de routine, mais il est actif depuis au moins août 2023, lorsque le groupe Saad Tycoon l’a proposé via des canaux de télégrammes privés.

L’expression partage des similitudes avec d’autres plates-formes adversary-in-the-middle (AitM), telles que Dadsec OTT, suggérant une réutilisation possible du code ou une collaboration entre développeurs.

En 2024, Tycoon 2FA a publié une nouvelle version plus furtive, indiquant un effort continu pour améliorer le kit. Actuellement, le service exploite 1 100 domaines et a été observé dans des milliers d’attaques de phishing.

Site Web du magnat 2FA

Attaques Tycoon 2FA
Les attaques Tycoon 2FA impliquent un processus en plusieurs étapes dans lequel l’auteur de la menace vole les cookies de session en utilisant un serveur proxy inverse hébergeant la page Web de phishing, qui intercepte les entrées de la victime et les transmet au service légitime.

« Une fois que l’utilisateur a terminé le défi MFA et que l’authentification est réussie, le serveur au milieu capture les cookies de session », explique Skoia. De cette façon, l’attaquant peut rejouer la session d’un utilisateur et contourner les mécanismes d’authentification multifacteur (MFA).

Le rapport de Sekoia décrit les attaques en sept étapes distinctes, comme décrit ci-dessous:

  • Étape 0-Les attaquants distribuent des liens malveillants via des e-mails avec des URL intégrées ou des codes QR, incitant les victimes à accéder aux pages de phishing.
  • Étape 1 – Un défi de sécurité (tourniquet Cloudflare) filtre les robots, permettant uniquement aux interactions humaines de se rendre sur le site de phishing trompeur.
  • Étape 2-Les scripts d’arrière-plan extraient l’e-mail de la victime de l’URL pour personnaliser l’attaque de phishing.
  • Étape 3-Les utilisateurs sont tranquillement redirigés vers une autre partie du site de phishing, les rapprochant de la fausse page de connexion.
  • Étape 4 – Cette étape présente une fausse page de connexion Microsoft pour voler des informations d’identification, en utilisant des WebSockets pour l’exfiltration de données.
  • Étape 5 – Le kit imite un défi 2FA, interceptant le jeton 2FA ou la réponse pour contourner les mesures de sécurité.
  • Étape 6-Enfin, les victimes sont dirigées vers une page d’apparence légitime, masquant le succès de l’attaque de phishing.

Un aperçu de l’attaque est décrit avec le diagramme ci-dessous, qui comprend toutes les étapes du processus.

Aperçu de l’attaque Tycoon 2FA

Évolution et échelle
Sekoia rapporte que la dernière version du kit de phishing Tycoon 2FA, publiée cette année, a introduit des modifications importantes qui améliorent les capacités de phishing et d’évasion.

Les principaux changements incluent des mises à jour du code JavaScript et HTML, des modifications de l’ordre de récupération des ressources et un filtrage plus étendu pour bloquer le trafic des robots et des outils d’analyse.

Par exemple, le kit retarde désormais le chargement des ressources malveillantes jusqu’à ce que le défi du tourniquet Cloudflare soit résolu, en utilisant des noms pseudo-aléatoires pour les URL pour masquer ses activités.

De plus, le trafic réseau Tor ou les adresses IP liées aux centres de données sont désormais mieux identifiés, tandis que le trafic est rejeté en fonction de chaînes d’agent utilisateur spécifiques.

En ce qui concerne l’ampleur des opérations, Sekoia indique qu’elle est substantielle, car il existe des preuves d’une large base d’utilisateurs de cybercriminels utilisant actuellement Tycoon 2FA pour des opérations de phishing.

Le portefeuille Bitcoin lié aux opérateurs a enregistré plus de 1 800 transactions depuis octobre 2019, avec une augmentation notable à partir d’août 2023, lorsque le kit a été lancé.

Plus de 530 transactions coûtaient plus de 120 USD, soit le prix d’entrée pour un lien d’hameçonnage de 10 jours. À la mi-mars 2024, le portefeuille des acteurs de la menace avait reçu un total de 394 015 $de crypto-monnaie.

Tycoon 2FA n’est qu’un ajout récent à un espace PhaaS qui offre déjà de nombreuses options aux cybercriminels. D’autres plates-formes notables qui peuvent contourner les protections 2FA incluent LabHost, Greatness et Robin Banks.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *