Barracuda full logo

Threat Spotlight : Le kit de phishing Tycoon 2FA a été mis à jour pour échapper aux inspections

Thèmes:
22 janv. 2025
|

Le Phishing-as-a-Service (PhaaS) fournit aux pirates des ensembles d’outils et des modèles avancés qui leur permettent de lancer rapidement des campagnes de phishing.

La montée en puissance et l’évolution rapide du PhaaS provoquent un changement fondamental dans l’écosystème du phishing, rendant la menace de plus en plus complexe et sophistiquée. Les développeurs de ces kits d’hameçonnage investissent des ressources considérables dans leur création et leur amélioration continue.

Selon les analystes des menaces de Barracuda, environ 30 % des attaques d’informations d’identification observées en 2024 ont utilisé le PhaaS, et ce chiffre devrait atteindre 50 % en 2025.

Barracuda surveille l’activité de certaines des plateformes PhaaS les plus en vue. L’une d’elles est Tycoon.

L’utilisation de Tycoon s’est généralisée depuis août 2023. Elle est devenue Tycoon 2FA lorsqu’elle a évolué pour contourner l’authentification multifactorielle – en l’occurrence 2FA – en collectant et en utilisant les cookies de session de Microsoft 365. La dernière version de Tycoon 2FA a été vue pour la première fois en novembre 2024. Elle présente des tactiques avancées conçues pour obstruer, faire dérailler et contrecarrer les tentatives des outils de sécurité de confirmer ses intentions malveillantes et d’inspecter ses pages web.

Ces tactiques incluent :

  • Utiliser des comptes de messagerie légitimes – potentiellement compromis – pour lancer des attaques
  • Un code source spécialement conçu pour empêcher l’analyse des pages web
  • Des mesures pour bloquer l’utilisation de scripts de sécurité automatisés et d’outils de tests d’intrusion
  • Surveiller les frappes qui indiquent une inspection web, puis bloquer toute activité ultérieure
  • Désactiver le menu contextuel (clic droit) qui pourrait révéler la véritable intention des pages web
  • Empêcher les utilisateurs de copier du texte significatif de la page web pour une analyse hors ligne

Dans ce dossier Threat Spotlight, nous examinons certaines de ces tactiques et examinons comment elles sont utilisées pour échapper à la détection et à l’inspection.

La dernière évolution de Tycoon 2FA

Tycoon 2FA permet aux pirates d’intercepter et de contourner les mesures de sécurité multicouches conçues pour protéger les comptes. En ciblant et en exploitant les vulnérabilités du processus 2FA, les pirates peuvent obtenir un accès non autorisé à des comptes autrement sécurisés.

Début novembre 2024, nous avons observé une augmentation de l’utilisation d’une nouvelle version de Tycoon, plus furtive que l’édition précédente, utilisant une gamme de tactiques sophistiquées pour entraver la détection et l’analyse.

Utilisation d’identités d’e-mail légitimes

L’un des changements significatifs par rapport aux versions antérieures de Tycoon 2FA est que les e-mails de phishing sont envoyés à partir d’adresses e-mail légitimes, potentiellement compromises.

Vous trouverez ci-dessous des exemples de ces e-mails de phishing :

Exemples d’e-mails de phishing de Tycoon 2FA

La véritable page de phishing à laquelle ces e-mails mènent est généralement une fausse page de connexion Microsoft.

Des tactiques sophistiquées empêchent l’analyse des pages de phishing

Code source obstructif

En plus de la manière dont les e-mails de phishing sont envoyés, nous avons remarqué des changements majeurs dans le code source de la fausse page de connexion.

Le code débute par le chargement des ressources JavaScript, des feuilles de style, des polices et des balises méta employées dans la page de phishing.

Toutefois, dans la nouvelle version de Tycoon 2FA, le modèle habituel d’appel de ressources JavaScript externes, de feuilles de style et de balises méta est ignoré, et une nouvelle fonction de script a été ajoutée qui entrave les tentatives d’analyse de la page web (voir l’image ci-dessous).

Code source obstructif de Tycoon 2FA

Détection des scripts de sécurité automatisés

Une analyse plus approfondie du nouveau code de Tycoon 2FA a également révélé des mesures visant à repérer et à bloquer le type d’outils ou de scripts automatisés généralement utilisés par les solutions de sécurité pour déterminer si le code est malveillant, par exemple l’outil de test d’intrusion « Burp ».

Tycoon 2FA détecte les scripts de sécurité automatisés

Si de tels outils sont détectés, l’utilisateur est redirigé vers une page blanche, ce qui empêche de poursuivre l’analyse.

Une surveillance des frappes qui indiquent une inspection web

La dernière version de Tycoon 2FA peut détecter et bloquer les combinaisons de touches ou les raccourcis couramment utilisés par les programmeurs ou les équipes de sécurité pour inspecter une page web, ce qui complique la tâche des analystes qui doivent rechercher du code suspect, l’historique du navigateur, etc. dans la page web (voir ci-dessous).

Liste de frappes recherchées par Tycoon 2FA

La page web a été conçue pour bloquer l’action lorsque l’un de ces raccourcis est actionné.

Nous avons également observé une version alternative du script ci-dessus où les clés sont remplacées par leurs valeurs décimales ASCII (voir ci-dessous) :

Tycoon 2FA remplace les valeurs décimales ASCII
Si les outils de développement sont ouverts, le logiciel déclenchera des mesures qui entraîneront des retards dans leur fonctionnement. Si le délai dépasse un certain seuil, suggérant que les outils de développement sont actifs, la page redirige l’utilisateur vers un site externe légitime sans rapport, en l’occurrence https://www.onedrive.com.
Tycoon 2FA bloque les outils de développement

D’autres éléments perturbateurs

La dernière version de Tycoon 2FA a désactivé le menu contextuel du clic droit, qui pourrait permettre aux utilisateurs d’inspecter, de sauvegarder des éléments ou de mieux comprendre l’intention réelle de la page.

Nous avons également noté l’utilisation de l’obfuscation de code pour masquer le contenu des pages web. Cette méthode est souvent employée pour rendre le code plus difficile à comprendre.

Enfin, nous avons trouvé des outils utilisés pour empêcher les utilisateurs de copier du texte significatif à partir de la page web en remplaçant automatiquement le contenu du presse-papiers par une chaîne de caractères prédéfinie, ce qui empêche l’extraction des données.

Voilà les changements les plus notables que l’on retrouve dans la dernière version de Tycoon 2FA. Nous continuons à approfondir notre analyse de ce kit de phishing et d’autres pour comprendre leur fonctionnement et comment protéger tout le monde contre de telles attaques.

Conclusion

En 2025, le phishing n’est plus une menace rudimentaire, mais un vecteur d’attaque complexe et sophistiqué qui dispose de ressources de plus en plus importantes. Les groupes PhaaS jouent un rôle essentiel dans cette évolution.

Nous avons observé l’utilisation de Tycoon 2FA dans de nombreuses campagnes de hameçonnage ces derniers mois. Les cyberpirates vont continuer de perfectionner leurs méthodes pour contourner les mesures de sécurité traditionnelles et déjouer des analyses plus approfondies. Il est essentiel de disposer de stratégies de défense agiles, innovantes et à plusieurs niveaux et de favoriser une solide culture de sécurité pour garder une longueur d’avance sur cette menace en constante évolution.

Recherchez des outils de sécurité qui évoluent continuellement en fonction des menaces émergentes, améliorent les règles de correspondance des modèles, surveillent les indicateurs de compromission (IOC) et affinent les solutions de sécurité.

Rapport : les principales menaces liées aux e-mails et leur évolution
Billets associés :
BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
 La rentrée scolaire marque aussi le retour des escroqueries
La rentrée scolaire marque aussi le retour des escroqueries
 Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.