Barracuda full logo

Threat Spotlight : décryptage d’un kit d’hameçonnage furtif ciblant Microsoft 365

Thèmes:
15 oct. 2025
|

Les plateformes d’hameçonnage en tant que service (PhaaS) dominent le paysage des menaces par e-mail. Les plus importantes sont des plateformes sophistiquées et bien dotées en ressources, proposant des outils, des infrastructures et une assistance en échange d’un paiement ou d’une part des bénéfices. Elles ne cessent d’évoluer, et de nouveaux challengers émergent à la recherche d’une part des bénéfices.

Chez Barracuda, les analystes des menaces suivent l’un de ces candidats depuis juillet 2025. Barracuda a nommé ce kit Whisper (murmure) 2FA en raison de son approche furtive et persistante pour le vol d’identifiants.

Le mois dernier, Barracuda a observé près d’un million d’attaques Whisper 2FA ciblant des comptes dans plusieurs campagnes d’hameçonnage de grande envergure, ce qui fait de Whisper le troisième PhaaS le plus répandu après Tycoon et EvilProxy.

Il existe des similitudes avec Salty 2FA, un nouveau PhaaS axé sur le vol d’identifiants Microsoft 365 récemment signalé par AnyRun. Il s’agit dans les deux cas de collecteurs d’identifiants bien obscurcis, dotés de fonctionnalités d’anti-débogage, d’anti-analyse et d’imitation de marque. Dans cet article, nous nous concentrons sur les différentes variantes de la menace, son évolution rapide et son flux d’authentification.

La boucle du vol d'identifiants

Le trait distinctif de Whisper 2FA est sa capacité à voler des identifiants plusieurs fois grâce à une boucle d’exfiltration d’identifiants en temps réel activée par une technologie web connue sous le nom d’AJAX (Asynchronous JavaScript and XML).

AJAX permet aux sites web de mettre à jour des informations en temps réel sans avoir à recharger la page entière. C’est la technologie qui permet d’accélérer et de simplifier des fonctionnalités telles que le chat en direct, les suggestions de recherche instantanées et les tableaux de bord dynamiques.

Les pirates maintiennent la boucle active jusqu’à ce qu’ils obtiennent un jeton d’authentification multifacteur valide.

Plusieurs leurres

Les analystes des menaces ont découvert une large gamme d’e-mails de phishing menant à Whisper 2FA, qui utilisent des marques connues et de confiance et des prétextes urgents pour maximiser leur réussite.

Vous trouverez ci-dessous un aperçu combiné de quatre leurres d’hameçonnage récents liés à Whisper 2FA, notamment DocuSign, la messagerie vocale, Adobe et « Invoice ».

Évolution rapide

Le kit d’hameçonnage Whisper 2FA évolue rapidement, tant en termes de complexité technique que de stratégies anti-détection.

Premières variantes

  • Les chaînes de code source HTML/JavaScript comportent des extraits de texte aléatoires. Cette tactique inclut des commentaires ajoutés par les développeurs, tels que des références à la forme physique ou à la nourriture. Cela peut également être une signature personnelle du développeur pour dire : « C’est moi qui l’ai créé. »
  • Le code est obscurci, mais reste relativement facile à suivre. Il y a moins de couches de codage que dans les variantes les plus récentes.
  • Le code inclut des vérifications pour empêcher une analyse de sécurité, mais elles sont moins agressives que celles observées dans les variantes ultérieures, se concentrant principalement sur la désactivation du menu clic droit/menu contextuel.

Variantes actuelles

  • Les commentaires ont été supprimés, éliminant les indices lisibles par l’homme et rendant l’analyse statique plus difficile.
  • L’obscurcissement est devenu plus dense et multicouche, avec des fonctions de décodage Base64 répétées (ce qui suggère que les données originales ont été encodées plusieurs fois dans des chaînes de lettres, de chiffres et de symboles).
  • Des protections supplémentaires ont été mises en place pour rendre plus difficile l’analyse ou l’altération du système par les pirates. Il s’agit notamment d’astuces pour détecter et bloquer les outils de débogage, désactiver les raccourcis utilisés par les développeurs et faire échouer les outils d’inspection en manipulant le comportement du navigateur.
  • Des contrôles de session renforcés et une logique d’exfiltration d’authentification multifactorielle (MFA), où les jetons et les OTP (mots de passe à usage unique) sont validés en temps réel via les systèmes de commande et de contrôle (C2) des pirates.
  • Des contrôles améliorés pour valider instantanément les codes de connexion et les jetons interceptés via les systèmes C2 des pirates.

À gauche, les premières variantes ; à droite, les variantes actuelles

Analyse technique détaillée

Dans cette section, nous vous révélons le fonctionnement interne du kit d’hameçonnage Whisper 2FA, en nous concentrant sur la manière dont il gère le flux d’authentification.

1. Obfuscation avec Base64 + XOR

Au cœur de Whisper 2FA se trouve une routine d'encodage simple mais efficace :

L’obscurcissement avec Base64 + XOR déguise les données pour compliquer leur détection ou leur déchiffrement.

Tout d’abord, les données sont converties dans un format codé (Base64) qui ressemble à du texte aléatoire. Ensuite, il est brouillé à l’aide d’une opération mathématique (XOR). Cette approche est souvent utilisée dans les malwares ou les techniques d’évasion de sécurité afin de rendre les données volées ou les codes malveillants plus difficiles à détecter. Cette tactique permet de ralentir l’analyse et d’éviter les détections statiques par les outils de sécurité qui recherchent des domaines d’hameçonnage codés en dur ou des éléments HTML.

Cette fonction opère en deux étapes :

  • Décodage avec Base64 : comme mentionné ci-dessus, cela consiste à transformer un texte normal en un format d’apparence brouillée, en utilisant uniquement des lettres, des chiffres et quelques symboles. L’encodage avec Base64 est facile à inverser si besoin. Dans ce cas, la chaîne d’entrée « s » est d’abord décodée depuis Base64, produisant une séquence d’octets bruts.
  • Masquage XOR : il s’agit d’une méthode de chiffrement simple qui compare chaque lettre ou chiffre du message avec une clé secrète, puis le modifie selon une règle qui crypte chaque octet de données par rapport à une clé répétitive (14cf6ff11206b4e94bee33a2ec0e6a51), représentée par « Var K = », qui est unique pour chaque page d’hameçonnage.

2. Anti-analyse et anti-débogage

Les nouvelles variantes de Whisper 2FA mettent tout en œuvre pour empêcher l’inspection et l’analyse de la page d’hameçonnage.

Le code utilise l’approche d’obscurcissement des encodages Base64 et XOR pour masquer des mots clés tels que « Keydown » et « F12 », ce qui rend plus difficile pour les analystes de détecter ou de comprendre l’objectif du code.

Il inclut également plusieurs techniques anti-analyse qui bloquent la façon dont la plupart des gens inspectent les pages web. Par exemple, il désactive les raccourcis clavier tels que Ctrl+Maj+I, Ctrl+Maj+J, Ctrl+Maj+C (utilisés pour ouvrir les outils de développement), Ctrl+U (utilisé pour afficher la source de la page), Ctrl+S (utilisé pour enregistrer la page) et le clic droit (utilisé pour ouvrir le menu contextuel).

Une tactique plus agressive est la boucle de débogage infinie, également connue sous le nom de boucle watchdog (ou chien de garde). Si un utilisateur ouvre les outils de développement, le code s’exécute sans fin, ce qui bloque l’onglet du navigateur jusqu’à ce qu’il soit fermé manuellement.

De plus, le code malveillant de Whisper 2FA utilise des astuces de console qui détectent lorsque quelqu’un interagit avec la page via la console du navigateur. Dans ce cas, le contenu de la page est effacé, ce qui empêche toute analyse ultérieure.

Anti-analyse & anti-débogage

Whisper 2FA a recours à une tactique ingénieuse pour bloquer l’analyse. Il génère un objet image factice et altère le comportement de sa propriété ID. Si quelqu’un essaie de consulter cet objet, par exemple en utilisant les outils de développement du navigateur, cela déclenche une commande qui efface instantanément la page web en transformant cette dernière en page vide.

Pendant la phase de liaison des champs de formulaire, le code connecte secrètement chaque champ de saisie (comme l’adresse e-mail, le mot de passe, les codes à usage unique (OTP) ou les jetons MFA) à des fonctions cachées. Ces fonctions envoient automatiquement les données au serveur des pirates, quelle que soit la manière dont l’utilisateur les transmet, que ce soit en appuyant sur Entrée ou en cliquant sur des boutons tels que « Suivant », « Connexion » ou « Envoyer ».

L’ensemble du processus est conçu pour ressembler à un formulaire de connexion normal, de sorte que les victimes ne se doutent de rien. Pendant ce temps, leurs informations de connexion et leurs codes de sécurité sont volés en arrière-plan.

3. Envoi d’identifiants

La fonction appelée _e3834047() contrôle la façon dont le kit d’hameçonnage gère les données de connexion des victimes et se prépare à voler leur code MFA.

Une fois que la victime a saisi son adresse e-mail et son mot de passe dans le faux formulaire de connexion, la fonction vérifie d’abord si une étape de validation cachée s’est déroulée avec succès (en utilisant _c896d0b0()). Si c’est le cas, le kit se saisit de l’adresse e-mail (« ordination ») et du mot de passe (« adjuration ») à l’aide de sélecteurs cachés. Ces sélecteurs sont déguisés mais pointent vers les champs de saisie réels du formulaire lorsque la page s’exécute.

Ensuite, l’interface utilisateur est modifiée pour donner l’impression qu’une opération est en cours, comme lors d’une véritable procédure de connexion. Un indicateur de chargement apparaît, l’écran s’assombrit et le formulaire de connexion disparaît. Cela trompe la victime en lui faisant croire que sa connexion est traitée normalement.

En arrière-plan, les identifiants volés sont envoyés au serveur des pirates à l’aide d’une requête AJAX. Mais au lieu d’envoyer les données en texte clair, le kit les intègre dans une fonction appelée _860ac295, qui les brouille à l’aide du codage Base64 et du XOR. Il utilise également une clé de session (appelée « viscous ») pour rendre le brouillage unique. Ainsi, il est plus difficile pour quiconque surveille le réseau de voir immédiatement que des données de connexion ont été volées.

4. Exfiltration MFA

Après avoir volé les identifiants de connexion de la victime, Whisper 2FA passe à une phase plus avancée : la collecte en temps réel des données MFA.

Si le compte de la victime nécessite un code envoyé par SMS ou un code généré par une application d’authentification, le kit d’hameçonnage active un mode de capture manuel. Le backend des pirates envoie un nouveau jeton de session avec des instructions pour que la page d’hameçonnage affiche un champ de saisie pour le code MFA.

Une fois que la victime a saisi son code et cliqué sur le bouton d’envoi, la page d’hameçonnage intègre le code dans une charge utile masquée et l’envoie au serveur C2 des pirates. Cette requête inclut des détails d’opération tels que op: ’Vx’ (vérification) et service: ’c’ (saisie manuelle). Le pirate utilise ensuite immédiatement le code pour tenter une connexion réelle. Si le code fonctionne, la page d’hameçonnage continue comme si la connexion avait réussi, trompant ainsi la victime. Si le code échoue, la page invite poliment la victime à réessayer. Cette boucle permet un nombre illimité de tentatives, incitant la victime à rester active jusqu’à ce que le pirate puisse intercepter un code valide.

Exfiltration MFA

Cette conception est particulièrement dangereuse, car elle ne se contente pas de voler un seul code MFA — elle agit comme un relais en direct, validant chaque code en temps réel et continuant jusqu’à ce que le pirate parvienne à se connecter. Pour les défenseurs, cela signifie que même les codes expirés ou incorrects ne mettent pas fin à l’attaque, car le kit d’hameçonnage continue à solliciter la victime jusqu’à ce qu’il obtienne un code qui fonctionne.

5. Méthodes MFA

Dans la phase de sélection MFA, le kit d’hameçonnage reçoit une liste des méthodes MFA disponibles depuis le serveur des pirates. Cette liste est encodée en Base64 et contient des options telles que des notifications push, des SMS, des appels vocaux ou des codes générés par l’application. Chaque méthode est affichée sous forme de vignette cliquable sur la page d’hameçonnage. Lorsque la victime sélectionne une méthode, la fonction « heavenward » (méthode) est déclenchée. Elle affiche un curseur de chargement, efface l’écran et envoie une requête POST au serveur des pirates avec la méthode sélectionnée, un jeton de session et d’autres détails de l’opération.

Cette phase permet à Whisper 2FA de s’adapter à la méthode MFA utilisée par le compte de la victime. Il saisit ensuite l’OTP ou attend l’approbation push, finalisant ainsi le contournement en temps réel.

Contrôleur d’étapes MFA

Conclusion

La campagne d’hameçonnage Whisper 2FA démontre comment les kits d’hameçonnage ont évolué, passant de simples voleurs d’identifiants à des plateformes d’attaque complètes et sophistiquées. En combinant des flux de connexion réalistes, une interaction fluide avec les utilisateurs et une interception des données MFA en temps réel, Whisper 2FA rend extrêmement difficile pour les utilisateurs et les équipes de sécurité de détecter les fraudes.

Contrairement aux kits d’hameçonnage traditionnels qui s’arrêtent après avoir récupéré des noms d’utilisateur et des mots de passe, Whisper 2FA va plus loin. Il valide les sessions en temps réel, intercepte les codes MFA et utilise des techniques anti-analyse avancées pour éviter d’être détecté. Ce niveau de sophistication reflète l’essor du Phishing-as-a-Service (PhaaS), où les kits sont développés par des professionnels, régulièrement mis à jour et vendus ou loués aux pirates.

Whisper 2FA se distingue des principaux kits PhaaS tels que EvilProxy à plusieurs égards :

  • Exfiltration simplifiée : cette tactique évite les proxys inversés complexes et utilise à la place des requêtes AJAX légères pour voler les identifiants et les jetons MFA, ce qui la rend plus facile à déployer et plus difficile à détecter.
  • Anti-analyse agressive : elle inclut plusieurs couches d’obscurcissement, définit des pièges pour les outils de débogage et bloque les raccourcis d’inspection courants, ce qui rend l’analyse difficile pour les chercheurs et les outils de sécurité.

Cette combinaison de simplicité pour les pirates et de complexité pour les défenseurs fait de Whisper 2FA une menace sérieuse et croissante.

Comme les kits d’hameçonnage de ce type continuent d’évoluer, les organisations doivent dépasser les défenses statiques et adopter des stratégies à plusieurs niveaux : la formation des utilisateurs, des méthodes MFA résistantes à l’hameçonnage, une surveillance continue et un partage des renseignements sur les menaces. C’est la seule façon pour les défenseurs de suivre le rythme de l’innovation incessante que nous observons aujourd’hui dans les campagnes d’hameçonnage comme Whisper 2FA.

Consultez les analyses en direct de Barracuda Research
Billets associés :
BarracudaONE supercharges MSP operations with new capabilities
BarracudaONE supercharges MSP operations with new capabilities
 Introducing Barracuda Research — the new resource for our global threat intelligence and insight
Introducing Barracuda Research — the new resource for our global threat intelligence and insight
 Au-delà du MITM : le danger croissant des attaques de l’adversaire au milieu
Au-delà du MITM : le danger croissant des attaques de l’adversaire au milieu
 Comment BMAT Schools Trust garde une longueur d’avance sur les cybermenaces avec Barracuda
Comment BMAT Schools Trust garde une longueur d’avance sur les cybermenaces avec Barracuda
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.