Un tout nouveau kit de hameçonnage gagne en popularité dans la communauté clandestine, selon des experts en cybersécurité. Il est notamment conçu pour contourner l’authentification à deux facteurs (2FA), qui n’est donc plus un gage de sécurité à toute épreuve.
Ce nouvel outil de piratage est distribué via des réseaux illicites, et s’avère très populaire auprès des pirates. Les cybercriminels derrière sont développement auraient d’ailleurs enregistré des centaines de commandes au cours du mois de mars.
Le kit en question es appelé Tycoon 2FA. et il fait un bon travail pour éviter les outils de sécurité. Il permet à ses utilisateurs de contourner même la 2FA, selon les experts en cybersécurité de Sekoia. Ceux-ci ont d’ailleurs récemment détaillé cette solution PhaaS dans un article complet.
Qu’est-ce que le hameçonnage en tant que service?
Les plateformes de hameçonnage en tant que service (ou PhaaS) sont une adaptation des plateformes de service en ligne aux attaques de phishing classiques. Celles-ci offrent à des pirates moins expérimentés, l’occasion de mener des campagnes de hameçonnage sans nécessairement posséder les capacités techniques nécessaires.
Le hameçonnage en tant que service utilise le modèle d’affaires d’un logiciel en tant que service. Il donne à l’utilisateur accès à une trousse d’hameçonnage (pages d’hameçonnage, faux sites Web, etc.) pour un certain temps en échange de frais.
Certains cybercriminels deviennent ainsi des fournisseurs de services (bien que illicites). Ils vendent l’accès aux outils et aux connaissances nécessaires à une attaque de hameçonnage.
Il faut le mentionner, la création d’une campagne de hameçonnage élaborée nécessite un large éventail de compétences techniques. Le PhaaS permet au contraire à n’importe qui, même un novice, de mener des attaques.
Un outil pour contourner l’authentification à deux facteurs (2FA)
Selon le rapport de la firme de cybersécurité Sekoia, Tycoon 2FA a été repéré pour la première fois au milieu de 2023. Il a ensuite fait l’objet d’une mise à niveau majeure au début de 2024. Celle-ci en a fait une menace nettement plus sérieuse. L’outil utilise désormais environ 1 100 domaines différents pour mener des milliers d’attaques par hameçonnage à chaque jour.
Pour vous donner un aperçu de l’ampleur du problème, le portefeuille Bitcoin lié à sa distribution a connu plusieurs centaines de transactions depuis son lancement en août 2023. Les transactions étaient d’un minimum d’environ 120 $, qui serait le prix d’entrée pour un lien de hameçonnage valide pour 10 jours.
En mars de cette année, les opérateurs ont ainsi récolté près de 400,000 $ sous forme de cryptomonnaie pour la distribution de Tycoon 2FA. On peut croire que de tels revenus risquent d’éventuellement inciter d’autres cybercriminels à se convertir à ce type de “sous-traitance” et offrir aussi leurs services de la même manière. Le PhaaS est donc malheureusement un phénomène qui risque de se répandre au cours des prochaines années.
Un outil de hameçonnage qui se développe à un rythme inquiétant
Les cybercriminels développant Tycoon 2FA auraient même apporté deux mises à niveau majeures en quelques mois, selon Sekoia. Cet outil illégal est donc produit par une équipe travaillant activement à son développement, comme une startup légale.
La première mise à jour a permis de rendre l’outil plus difficile à repérer et à analyser. Les modifications apportées au code JavaScript et HTML, les changements dans l’ordre de récupération des ressources et un meilleur filtrage ont rendu l’analyse du service beaucoup plus complexe.
La deuxième mise à jour a intégré la possibilité de contourner l’authentification à deux facteurs. Pour ce faire, Tycoon utilise un serveur proxy inverse pour héberger la page de hameçonnage. Les attaquants sont en mesure d’intercepter les entrées de la victime, de voler les cookies de session et les codes 2FA.
“Une fois que l’utilisateur a terminé le défi MFA et que l’authentification est réussie, le serveur au milieu capture les cookies de session”, a déclaré Sekoia dans son rapport.
L’authentification à plusieurs facteurs a toujours été considérée comme un excellent mécanisme de défense. Ces derniers temps, les pirates ont faits des progrès majeurs dans leurs efforts pours les contourner.
Pour conclure sur ce nouveau kit de hameçonnage contournant la 2FA
Le hameçonnage en tant que service est une nouvelle menace qui risque de prendre de l’ampleur au cours des prochaines années. Tycoon 2FA est sans doute le premier de nombreux kits du genre. Et ces outils illégaux deviendront probablement de plus en plus complets et efficaces.
La popularité des SaaS dans le milieu numérique légal continuera probablement d’inspiré les cybercriminels. Il y a fort à parier que des kits similaires apparaîtront bientôt pour d’autre types de piratage que le hameçonnage.
Il faut espérer que les entreprises de cybersécurité sauront s’adapter rapidement. Après tout, l’authentification à plusieurs facteurs et un outil récent, qui semble déjà compromis.
Nous espérons que cet article vous a plus et vous a éclairé sur ce nouveau kit de hameçonnage appelé Tycoon 2FA. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.
