Source et contexte: SpyCloud publie une analyse basée sur 159 188 identifiants phishés, révélant que la plateforme de Phishing-as-a-Service Tycoon 2FA met en œuvre des techniques Adversary-in-the-Middle (AitM) pour contourner la MFA et compromettre des comptes Microsoft 365 et Gmail.
🎣 Fonctionnement: Tycoon 2FA héberge des copies convaincantes des pages de connexion Gmail et Microsoft 365, intercepte le flux d’authentification, capture identifiants et jetons MFA, relaie les requêtes vers les services légitimes et vole les cookies de session pour l’hijacking. Le kit intègre des fonctions anti-analyse comme des CAPTCHA et de l’obfuscation de code.
📊 Constatations clés: L’analyse montre une forte focalisation sur les pays anglophones, avec 54% des victimes situées aux États-Unis. 41% des victimes tentent plusieurs mots de passe, exposant des identifiants supplémentaires. Les secteurs éducation, manufacturier et logiciels apparaissent plus ciblés. L’étude met en évidence que des protections MFA traditionnelles sont insuffisantes face à ces techniques de phishing avancé.
🔎 Méthodologie d’analyse: SpyCloud examine les schémas de ciblage géographique, les comportements de réessais de connexion (indicateurs de réutilisation de mots de passe), et la répartition sectorielle via la classification des domaines e-mail en s’appuyant sur la liste Tranco et une catégorisation assistée par IA.
- TTPs:
- AitM pour intercepter les flux d’authentification
- Phishing avec pages de connexion M365/Gmail clonées
- Vol de cookies de session et session hijacking 🍪
- Bypass MFA via relais des requêtes et capture des jetons
- Anti-analyse: CAPTCHA, obfuscation de code
Conclusion: Il s’agit d’une analyse de menace visant à documenter le fonctionnement, la portée et l’impact de Tycoon 2FA, ainsi que les tendances observées dans les identifiants compromis.
🧠 TTPs détectés
TTPs
Adversary-in-the-Middle (AitM) pour intercepter les flux d’authentification, Phishing avec pages de connexion M365/Gmail clonées, Vol de cookies de session et session hijacking, Bypass MFA via relais des requêtes et capture des jetons, Anti-analyse: CAPTCHA, obfuscation de code
🔗 Source originale : https://spycloud.com/blog/an-analysis-of-credentials-phished-by-tycoon-2fa/