Source: Datadog (analyse technique signée par Martin McCloskey). L’article retrace l’évolution du kit de phishing 1Phish (sept. 2025 → fév. 2026) qui cible les utilisateurs de 1Password via des domaines typosquattés et des emails à thème « compromission », passant d’un collecteur basique d’identifiants à une plateforme multi‑étapes compatible MFA, avec anti‑analyse et gestion de session.
• Évolution par versions. V1 (sept. 2025) est une page HTML légère (~258 lignes) récoltant email, clé secrète et mot de passe, sans MFA ni fingerprinting. V2 (sept.–oct. 2025) ajoute validation côté client, Cloudflare challenges, fingerprinting (canvas, WebGL, plugins, dimensions), et l’intégration de HideClick pour cloaking/filtrage des bots. V3 (oct. 2025–fév. 2026) introduit un workflow multi‑étapes, une porte de validation pré‑phishing (/validate), la capture d’OTP/2FA (POST /submit-2fa) et une double collecte de mots de passe (ancien/nouveau). V4 (fév. 2026) bascule vers une architecture REST avec gestion de session, ciblage entreprise/équipe (sous‑domaine d’entreprise), sélection de région, internationalisation, collecte de codes de récupération 1PRK, obfuscation JS et bot scoring actif (/api/validate-access).
• Capacités et anti‑analyse. Le kit affiche une maturité opérationnelle: fingerprinting avancé (canvas/WebGL/GPU, mémoire, CPU, langues, DNT, timezone), détection d’automatisation (webdriver, Selenium, Puppeteer, PhantomJS…), cloaking HideClick, délais/états de chargement, et en V4 un système de score anti‑bot et suppression de la console. Les flux d’exfiltration passent de soumissions de formulaires (/login, /submit-2fa) à des endpoints API (/api/init-session, /api/session/{id}/credentials, /api/session/{id}/otp, etc.).
• Ciblage et objectifs. Les leurres « compromission » et faux Watchtower redirigent vers des domaines typosquattés imitant la page de connexion 1Password. Le kit collecte de façon stagée: email → identifiants (email, clé secrète, mot de passe[s]) → OTP → codes de récupération 1PRK → informations d’entreprise. Aucune infra de reverse proxy ni détournement automatique de session n’a été observée, mais la collecte explicite des codes 2FA indique une intention d’authentification en temps réel ou de rejeu de session.
• Lien entre versions et infrastructure. Des artefacts frontend identiques (gabarit HTML, classes Knox, assets hashés), conventions de workflow (/step1, /login, /submit-2fa), schéma de fingerprinting commun (y compris chaîne Base64 d’artefacts d’automatisation), références inter‑domaines et hébergement Cloudflare récurrent montrent une lignée technique commune du kit (V1→V4), suggérant maintenance continue et réutilisation opérationnelle.
• Mesures et contexte éditeur. Datadog signale des règles de détection prêtes à l’emploi pour comportements suspects autour de 1Password et note que des connexions via Cloudflare vers 1Password peuvent indiquer une compromission si anormales. 1Password affirme suivre activement la campagne (takedowns, surveillance) et a introduit des protections anti‑phishing intégrées. Type d’article: analyse de menace détaillant l’évolution d’un kit de phishing ciblant 1Password.
IoCs (domaines observés)
- login-1password[.]com (V1, Cloudflare)
- lon-pass-word[.]com (V2, Cloudflare)
- onepass-word[.]com (V2, Cloudflare)
- 0nepass-word[.]com (V3, Cloudflare)
- on-pass-word[.]com (V3, Cloudflare)
- one-passw0rd[.]com (V3, Cloudflare)
- 1possword[.]com (V3, Cloudflare)
- 1passwords[.]co (V3, autre hébergeur)
- 1passwod[.]net (V3, Cloudflare, déploiement récent)
- lpasswod[.]com (V3, Cloudflare)
- signin-1psswoord[.]com (V4, Cloudflare)
- on-pssword[.]com (V4, Cloudflare)
- 1pass-wrd[.]com (V4, Cloudflare)
TTPs observés (extraits)
- 🎣 Typosquatting et imitations fidèles de la page 1Password; leurres « compromission » et faux Watchtower
- 🔐 Capture d’authentification multi‑facteur: OTP/2FA et codes de récupération 1PRK; double collecte de mots de passe
- 🧩 Workflow multi‑étapes avec pré‑validation et gestion d’états/sessions; bascule formulaire → API REST (V4)
- 🕵️ Anti‑analyse/anti‑bot: HideClick (cloaking), Cloudflare challenges, fingerprinting (canvas/WebGL/GPU/plugins), détection Selenium/Puppeteer/PhantomJS, bot scoring
- 🌐 Infrastructure: Cloudflare fronting pour la majorité des domaines; schémas de registres et endpoints partagés
🧠 TTPs et IOCs détectés
TTP
Typosquatting et imitations fidèles de la page 1Password; leurres « compromission » et faux Watchtower; Capture d’authentification multi‑facteur: OTP/2FA et codes de récupération 1PRK; double collecte de mots de passe; Workflow multi‑étapes avec pré‑validation et gestion d’états/sessions; bascule formulaire → API REST (V4); Anti‑analyse/anti‑bot: HideClick (cloaking), Cloudflare challenges, fingerprinting (canvas/WebGL/GPU/plugins), détection Selenium/Puppeteer/PhantomJS, bot scoring; Infrastructure: Cloudflare fronting pour la majorité des domaines; schémas de registres et endpoints partagés
IOC
login-1password[.]com, lon-pass-word[.]com, onepass-word[.]com, 0nepass-word[.]com, on-pass-word[.]com, one-passw0rd[.]com, 1possword[.]com, 1passwords[.]co, 1passwod[.]net, lpasswod[.]com, signin-1psswoord[.]com, on-pssword[.]com, 1pass-wrd[.]com
🔗 Source originale : https://defensendepth.substack.com/p/the-ghost-in-the-annotations