🔍 Contexte

Analyse publiĂ©e le 30 juin 2026 par l’Ă©quipe ZeroBEC, documentant une campagne de phishing ciblĂ©e contre des destinataires IT d’entreprise, interceptĂ©e par leur plateforme. L’article prĂ©sente une analyse technique approfondie d’un kit de phishing de type Sneaky 2FA / WikiKit avec des capacitĂ©s AiTM (Adversary-in-the-Middle).

📧 Vecteur d’accĂšs initial : abus de confiance expĂ©diteur

L’email de phishing a Ă©tĂ© envoyĂ© depuis un compte SaaS tiers compromis prĂ©alablement approuvĂ© par l’environnement cible. Le leurre principal Ă©tait une fausse alerte Microsoft “Unusual Sign-in activity” menaçant de verrouiller le compte sous 24h. Un fil de discussion professionnel Ă©tait inclus en camouflage pour crĂ©dibiliser le message.

  • SPF et DKIM passants pour l’expĂ©diteur cloud (Amazon SES)
  • DMARC non alignĂ© avec le domaine visible de l’expĂ©diteur
  • Sujet observĂ© : RE: Mailbox Pending Notice;6/30/2026 Case-ID: <long hex>

🔗 Chaüne de redirection et infrastructure

La chaßne de redirection est conçue pour contourner les analyses URL statiques :

  1. Safe Links wrapper
  2. Services de redirection Google de confiance
  3. Service de redirection de clics publicitaires
  4. Site intermédiaire
  5. HĂŽte de phishing final (isp09981-accessidriveappsigner[.]dersonmfginc[.]com)
  6. Namespace de session long
  7. Handler d’identitĂ© en base64
  8. URL de ressource signée
  9. Page de phishing Microsoft

🎭 CapacitĂ©s du kit Sneaky 2FA

Le kit implĂ©mente un workflow d’authentification Microsoft complet :

  • Collecte de mot de passe avec prĂ©-remplissage de l’identitĂ© cible
  • Collecte de code de vĂ©rification OTP
  • Collecte de code SMS
  • Approbation Authenticator (push MFA)
  • Number matching
  • SĂ©lection de mĂ©thode 2FA
  • Transition vers la page de connexion organisationnelle
  • Redirection finale post-capture vers Outlook

🔄 Polymorphisme de session (Ă©volution clĂ©)

Le kit utilise un wrapper de session mutable autour de modules core stables :

ÉlĂ©ments mutables : noms de fichiers JS loader, namespace de route, handler d’identitĂ©, slug de validation, tokens de sĂ©curitĂ©, titre de page, schĂ©ma de paramĂštres de requĂȘte

ÉlĂ©ments stables (SHA-256 constants) :

  • Module config : 22b383bee9018beb60be59df9dc5693b710b4fbb460c4ee72249eb6bbb15340b
  • Module validateur/anti-analyse : 5e8aa39a15e7def1d135b1ac0df79dbe284b69abe59a31ec7cfd93fcfa66999150b9f
  • Module workflow phishing : 8ab710d7d1e89f5f91a71585eb37ab543883ee75fdd21f36aadde931b308e3e5

🔐 Replay de credentials confirmĂ© dans Microsoft Entra ID

Des tests contrÎlés ont confirmé un replay en quasi-temps réel des credentials soumis :

  • Application ciblĂ©e : OfficeHome
  • Code d’erreur Entra : 50126 (identifiants invalides)
  • DĂ©lai de replay : deux tentatives en moins d’une seconde
  • IPs de replay : 2a13:9241:b54b:cafb:a8c7:a8fd:554d:ec58 et 2a13:9246:aa74:e116:5346:5d5d:61fb:fb93 (ASN 216157)
  • User-agent replay : Windows 10 / Edge 136

đŸ›Ąïž Anti-analyse et browser-gating

Le kit inclut une couche de validation navigateur avancée : vérification noscript, champs honeypot, désactivation du clic droit, détection de mouvement souris, timing de clics/touches, canvas fingerprint, WebGL, détection headless/webdriver, détection de console de débogage.

📋 Type d’article

Analyse technique dĂ©taillĂ©e publiĂ©e par ZeroBEC, visant Ă  documenter l’Ă©volution du kit Sneaky 2FA, fournir des IOCs exploitables et des rĂšgles de dĂ©tection pour les Ă©quipes SOC et threat hunters.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1556.006 — Modify Authentication Process: Multi-Factor Authentication (Credential Access)
  • T1036 — Masquerading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1090 — Proxy (Command and Control)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1114 — Email Collection (Collection)

IOC

  • IPv4 : 192.206.151.131 — AbuseIPDB · VT · ThreatFox
  • IPv6 : 2a13:9241:b54b:cafb:a8c7:a8fd:554d:ec58 — AbuseIPDB · VT · ThreatFox
  • IPv6 : 2a13:9246:aa74:e116:5346:5d5d:61fb:fb93 — AbuseIPDB · VT · ThreatFox
  • Domaines : isp09981-accessidriveappsigner.dersonmfginc.com — VT · URLhaus · ThreatFox
  • Domaines : dersonmfginc.com — VT · URLhaus · ThreatFox
  • URLs : https://isp09981-accessidriveappsigner.dersonmfginc.com/?e=<email>&utm_*=&campaign=&mid=&eid= — URLhaus
  • SHA256 : 22b383bee9018beb60be59df9dc5693b710b4fbb460c4ee72249eb6bbb15340b — VT · MalwareBazaar
  • SHA256 : 5e8aa39a15e7def1d135b1ac0df79dbe284b69abe59a31ec7cfd93fcfa66999150b9f — VT · MalwareBazaar
  • SHA256 : 8ab710d7d1e89f5f91a71585eb37ab543883ee75fdd21f36aadde931b308e3e5 — VT · MalwareBazaar
  • Fichiers : WXHsGjbUAfdNVqS.js
  • Fichiers : OTevt8PWqcLiSqt.js
  • Fichiers : tmdiW6MSCrIgxKp.js
  • Fichiers : NqrY4TUYVoCuk5iYb.js
  • Fichiers : BJTxtkeT893By8ch.js
  • Fichiers : zurPmQVUyt3WiHHI.js
  • Fichiers : JrsOsXSqVBa29h3tHGQ.js
  • Fichiers : bE1j4K896379lrfNGXW.js
  • Fichiers : LyliOheDGRJmPJdPZA4.js
  • Fichiers : verify_app.png
  • Fichiers : verifnotif2.png
  • Fichiers : appnotif2.png
  • Fichiers : invalid-pw.png
  • Fichiers : invalid-code.png
  • Fichiers : invalid-sms.png
  • Fichiers : empty-sms.png
  • Fichiers : verify.png
  • Fichiers : verify_code.png
  • Fichiers : verify_sms.png

Malware / Outils

  • Sneaky 2FA (other)
  • WikiKit (other)
  • Sneaky Log Phishing-as-a-Service (other)

🟱 Indice de vĂ©rification factuelle : 87/100 (haute)

  • ✅ fortinet.com — source reconnue (liste interne) (20pts)
  • ✅ 23156 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 28 IOCs dont des hashes (15pts)
  • ✅ 2/9 IOCs confirmĂ©s (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 10 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

IOCs confirmés externellement :

  • isp09981-accessidriveappsigner.dersonmfginc.com (domain) → VT (8/91 dĂ©tections)
  • dersonmfginc.com (domain) → VT (12/91 dĂ©tections)

🔗 Source originale : https://www.fortinet.com/blog/threat-research/analysis-of-ongoing-ousaban-attacks-targeting-the-iberian-peninsula