Le Tycoon 2FA, une plateforme de phishing en tant que service (PhaaS), a attiré l’attention des experts en cybersécuritéLes solutions de cybersécurité sont essentielles à l’ère numérique… depuis son apparition en août 2023. Cet outil représente une menace significative, surtout par sa capacité à éviter les protections de l’authentification multifacteur (MFA), un système largement utilisé pour protéger des comptes tels que Microsoft 365 et Gmail. Tycoon 2FA utilise la technique de phishing AiTM (adversaire dans le milieu), lui permettant de collecter des cookies de session pour contourner les contrôles MFA et accéder de manière non autorisée aux comptes et services dans le nuage.
Des chercheurs de l’équipe de Proofpoint ont averti que Tycoon 2FA est basé sur une infrastructure contrôlée par des cybercriminels pour héberger des pages de phishing, en utilisant un proxy inverse pour intercepter les identifiants saisis par les victimes. Par la suite, ces identifiants sont envoyés au service légitime, générant une demande de MFA, mais les cookies de session qui en résultent sont transmis aux attaquants, qui peuvent alors accéder aux comptes compromis.
Depuis fin 2023, des campagnes utilisant Tycoon 2FA pour voler des tokens MFA ont été détectées. Les attaquants utilisent des méthodes telles que des liens malveillants ou des fichiers PDF avec codes QR envoyés par e-mail, ainsi que de faux messages vocaux pour rediriger les victimes vers des pages frauduleuses. Les leurres les plus courants incluent des sujets liés à des bonus salariaux ou de fausses mises à jour d’entreprise.
Selon les experts de Proofpoint, les cybercriminels opérant derrière Tycoon 2FA ont commencé à vendre des pages de phishing prêtes à l’emploi via Telegram, avec des prix démarrant à 120 dollars pour dix jours d’accès au service. Cela facilite même pour les attaquants ayant peu de compétences techniques la mise en œuvre d’attaques de phishing sophistiquées.
En mars 2024, une version mise à jour du kit Tycoon 2FA a été lancée, avec des améliorations significatives de son code JavaScript et HTML, le rendant encore plus difficile à détecter par les systèmes de sécurité. Des plateformes telles que Evilginx et EvilProxy, qui utilisent également des proxies inverses, sont déjà surveillées et bloquées par les défenseurs, bien que l’utilisation d’outils pour voler des tokens de session continue d’augmenter parmi les acteurs du phishing et les Intermédiaires d’Accès Initial (IAB).
Pour contrer des menaces telles que Tycoon 2FA, les experts suggèrent une approche de défense en profondeur, combinant IA comportementale, intelligence sur les menaces et sensibilisation à la sécurité. L’analyse du comportement peut aider à identifier les pages de phishing et les activités suspectes, tandis qu’une plus grande visibilité des menaces émergentes est clé pour protéger les utilisateurs. De plus, éduquer les utilisateurs finaux sur la reconnaissance de ces risques est essentiel pour éviter de tomber dans ce type d’attaques.