Push Security publie une analyse technique (18 nov. 2025) d’une campagne liée au kit PhaaS Sneaky2FA, observant l’ajout de fonctionnalités Browser‑in‑the‑Browser (BITB) et plusieurs mécanismes d’évasion avancés.

— Aperçu de l’attaque —

  • Type d’attaque: phishing avec Attacker‑in‑the‑Middle (AITM) et BITB.
  • Leurres: « Sign in with Microsoft » pour ouvrir un document présenté comme Adobe Acrobat Reader.
  • Hébergement/flux: accès initial à previewdoc[.]us avec Cloudflare Turnstile (anti‑bot), redirection vers un sous‑domaine puis affichage d’un faux popup navigateur contenant une page de connexion Microsoft en reverse‑proxy.
  • Effet: vol d’identifiants Microsoft et de la session active, permettant une prise de contrôle de compte.
  • Détails UI: la fausse fenêtre popup s’aligne sur l’OS et le navigateur (ex. Windows/Edge, macOS/Safari) et simule une barre d’adresse affichant une URL Microsoft crédible.

— Techniques d’évasion observées —

  • Bot protection: CAPTCHA / Cloudflare Turnstile pour empêcher l’analyse automatisée.
  • Chargement conditionnel: blocage des visiteurs non désirés (IPs de sécurité, VPN/proxy, paramètres manquants) avec redirection vers une page Wikibooks bénigne.
  • Anti‑analyse: détection/désactivation des outils développeur du navigateur.
  • Obfuscation: HTML/JS fortement obfusqués, texte fragmenté via balises invisibles, éléments d’interface en images encodées.
  • Camouflage & rotation: BITB pour masquer l’URL réelle; URLs longues et aléatoires (~150 caractères) sur des domaines anodins (souvent anciens/compromis), courte durée de vie et stratégie « burn‑and‑replace ».

— Contexte PhaaS et tendances —

  • Les kits PhaaS (Tycoon, NakedPages, Flowerstorm, Salty2FA, variantes d’Evilginx) dominent le paysage du phishing et abaissent la barrière d’entrée.
  • Environnement concurrentiel favorisant l’innovation: contournement MFA devenu standard, downgrade de méthodes « résistantes au phishing », et évasion des contrôles (passerelles email, crawlers web, proxys).
  • Indices de bascule plus large vers BITB: le service Raccoon0365 annonce un « BITB mini‑panel » et l’emploie également.

— Opérations Sneaky2FA —

  • Distribution/gestion: opéré via un bot Telegram, accès sous licence à un code source obfusqué déployé par les clients; cela permet un profilage fiable via similarités de code.
  • Détection: Push montre une timeline de détections en direct sur la page; leur moteur inspecte la page vivante pour reconnaître le kit malgré l’évasion et bloquer l’attaque avant le phishing.

— IOCs et TTPs —

  • IOCs:
    • Domaine: previewdoc[.]us (et sous‑domaines).
  • TTPs:
    • BITB avec fausse barre d’adresse; reverse‑proxy AITM; Cloudflare Turnstile/CAPTCHA; chargement conditionnel et redirection vers Wikibooks; anti‑devtools; obfuscation HTML/JS et assets encodés; rotation de domaines, URLs longues aléatoires, durée de vie courte et burn‑and‑replace; leurre Microsoft dans un faux popup aligné OS/navigateur.

Article d’analyse technique / analyse de menace visant à documenter l’évolution du kit Sneaky2FA et ses mécanismes d’évasion, ainsi que la capacité de détection en temps réel de Push Security.

🧠 TTPs et IOCs détectés

TTP

BITB avec fausse barre d’adresse; reverse-proxy AITM; Cloudflare Turnstile/CAPTCHA; chargement conditionnel et redirection vers Wikibooks; anti-devtools; obfuscation HTML/JS et assets encodés; rotation de domaines, URLs longues aléatoires, durée de vie courte et burn-and-replace; leurre Microsoft dans un faux popup aligné OS/navigateur.

IOC

Domaine: previewdoc[.]us (et sous-domaines).

🔗 Source originale : https://pushsecurity.com/blog/analyzing-the-latest-sneaky2fa-phishing-page/