Des pirates volent vos comptes Gmail et Microsoft 365 grâce à cette nouvelle technique d’hameçonnage

Une nouvelle plateforme sophistiquée de phishing en tant que service, baptisée “Tycoon 2FA”, gagne en popularité auprès des cybercriminels en raison de sa capacité à contourner l’authentification multifactorielle et à voler les identifiants de connexion aux comptes Microsoft 365 et Gmail.

Les chercheurs ont repéré des milliers d’attaques de phishing utilisant une nouvelle « boîte à outils » depuis son apparition en août dernier. Tycoon 2FA a été découvert par les analystes de la société de cybersécurité Sekoia lors d’une surveillance de routine des menaces en octobre 2023.

Cependant, les preuves suggèrent que les opérateurs du kit d’hameçonnage, supposés être le groupe de menace “Saad Tycoon”, avaient déjà commencé à le distribuer commercialement par le biais de canaux Telegram privés quelques mois auparavant.

COMMENT FONCTIONNE CETTE NOUVELLE MÉTHODE DE PHISHING ?

Le kit semble partager certains codes avec d’autres plateformes d’hameçonnage de type “adversary-in-the-middle” (AitM) telles que Dadsec OTT, ce qui pourrait être dû à la réutilisation de codes ou à une collaboration entre les développeurs. Mais Tycoon 2FA a continué d’évoluer, avec une nouvelle version publiée au début de l’année 2024 qui présente d’importantes améliorations en matière de furtivité.

À la base, Tycoon 2FA permet aux acteurs de la menace de voler des cookies d’authentification en utilisant des sites de phishing qui imitent les flux de connexion légitimes – y compris les invites d’authentification multifactorielle de Microsoft et de Google. Cela permet à l’attaquant d’intercepter secrètement la réponse de l’authentification à facteurs multiples (MFA) de la victime et les jetons de session, puis de rejouer une session authentifiée et de contourner entièrement le MFA.

Source