Login into account in email envelope and fishing for private financial account information. Vector concept of phishing scam, hacker attack and web security
Depuis son apparition en août dernier, Tycoon 2FA a été repéré par les chercheurs en cybersécurité comme une redoutable menace dans le monde du phishing. Découvert par les analystes de Sekoia en octobre 2023, ce kit d’hameçonnage a depuis évolué pour devenir une arme redoutable contre l’authentification multifactorielle (MFA).
Méthode de Fonctionnement
Tycoon 2FA permet aux cybercriminels de voler les cookies d’authentification en utilisant des sites de phishing sophistiqués, imitant parfaitement les flux de connexion légitimes, y compris les invites d’authentification multifactorielle de Microsoft et de Google. Voici les étapes de son fonctionnement :
- Distribution des Leurres : Les utilisateurs reçoivent des liens d’hameçonnage par e-mail, codes QR, etc., les incitant à se rendre sur de faux portails de connexion.
- Filtrage Anti-Bots : Seules les interactions humaines sont autorisées.
- Extraction de l’URL : L’adresse e-mail de la cible est extraite pour personnaliser l’attaque de phishing.
- Redirection Discrète : Les utilisateurs sont dirigés vers l’infrastructure de phishing.
- Capture des Informations : Une page de connexion Microsoft réaliste capture les identifiants via une exfiltration WebSocket.
- Contournement de l’Authentification Multifactorielle : Les jetons à usage unique ou les codes de l’application d’authentification sont interceptés pour contourner le 2FA.
- Présentation d’un Domaine Légitime : Les victimes se voient présenter un domaine légitime pour dissimuler les traces de l’attaque.
Évolution et Détails Techniques
La dernière version de Tycoon 2FA, publiée en 2024, intègre de nombreuses améliorations pour échapper à la détection des antivirus, notamment en retardant la récupération des composants malveillants après le filtrage des robots, en utilisant des URL pseudo-aléatoires et en améliorant le filtrage du trafic en fonction des agents utilisateurs et des adresses IP des centres de données.
Portée et Risques
Les preuves recueillies par Sekoia indiquent que les opérateurs de Tycoon 2FA exploitent une vaste infrastructure d’hameçonnage couvrant plus de 1 100 domaines. Ce kit d’hameçonnage n’est qu’un exemple parmi d’autres sur un marché de plus en plus saturé du phishing-as-a-service.
Protection et Mesures de Sécurité
Pour se protéger contre Tycoon 2FA et des menaces similaires, les entreprises doivent intensifier la formation des utilisateurs à l’identification des portails de connexion et des invites MFA suspectes. Il est également crucial de surveiller les événements d’authentification suspects et les comptes potentiellement compromis, tout en activant des facteurs MFA supplémentaires, comme les clés de sécurité physiques ou les jetons FIDO, pour atténuer les risques.
About The Author
Je n’ai rien compris car je ne possède pas le langage pro utilisé dans cette mise en garde qui devrait être destinée même et surtout aux non-pro. C’était une bonne intention.
J’AI RIEN OMPRIS§