đ Contexte
Analyse publiĂ©e le 30 juin 2026 par l’Ă©quipe ZeroBEC, documentant une campagne de phishing ciblĂ©e contre des destinataires IT d’entreprise, interceptĂ©e par leur plateforme. L’article prĂ©sente une analyse technique approfondie d’un kit de phishing de type Sneaky 2FA / WikiKit avec des capacitĂ©s AiTM (Adversary-in-the-Middle).
đ§ Vecteur d’accĂšs initial : abus de confiance expĂ©diteur
L’email de phishing a Ă©tĂ© envoyĂ© depuis un compte SaaS tiers compromis prĂ©alablement approuvĂ© par l’environnement cible. Le leurre principal Ă©tait une fausse alerte Microsoft “Unusual Sign-in activity” menaçant de verrouiller le compte sous 24h. Un fil de discussion professionnel Ă©tait inclus en camouflage pour crĂ©dibiliser le message.
- SPF et DKIM passants pour l’expĂ©diteur cloud (Amazon SES)
- DMARC non alignĂ© avec le domaine visible de l’expĂ©diteur
- Sujet observé :
RE: Mailbox Pending Notice;6/30/2026 Case-ID: <long hex>
đ ChaĂźne de redirection et infrastructure
La chaßne de redirection est conçue pour contourner les analyses URL statiques :
- Safe Links wrapper
- Services de redirection Google de confiance
- Service de redirection de clics publicitaires
- Site intermédiaire
- HĂŽte de phishing final (
isp09981-accessidriveappsigner[.]dersonmfginc[.]com) - Namespace de session long
- Handler d’identitĂ© en base64
- URL de ressource signée
- Page de phishing Microsoft
đ CapacitĂ©s du kit Sneaky 2FA
Le kit implĂ©mente un workflow d’authentification Microsoft complet :
- Collecte de mot de passe avec prĂ©-remplissage de l’identitĂ© cible
- Collecte de code de vérification OTP
- Collecte de code SMS
- Approbation Authenticator (push MFA)
- Number matching
- Sélection de méthode 2FA
- Transition vers la page de connexion organisationnelle
- Redirection finale post-capture vers Outlook
đ Polymorphisme de session (Ă©volution clĂ©)
Le kit utilise un wrapper de session mutable autour de modules core stables :
ĂlĂ©ments mutables : noms de fichiers JS loader, namespace de route, handler d’identitĂ©, slug de validation, tokens de sĂ©curitĂ©, titre de page, schĂ©ma de paramĂštres de requĂȘte
ĂlĂ©ments stables (SHA-256 constants) :
- Module config :
22b383bee9018beb60be59df9dc5693b710b4fbb460c4ee72249eb6bbb15340b - Module validateur/anti-analyse :
5e8aa39a15e7def1d135b1ac0df79dbe284b69abe59a31ec7cfd93fcfa66999150b9f - Module workflow phishing :
8ab710d7d1e89f5f91a71585eb37ab543883ee75fdd21f36aadde931b308e3e5
đ Replay de credentials confirmĂ© dans Microsoft Entra ID
Des tests contrÎlés ont confirmé un replay en quasi-temps réel des credentials soumis :
- Application ciblée : OfficeHome
- Code d’erreur Entra : 50126 (identifiants invalides)
- DĂ©lai de replay : deux tentatives en moins d’une seconde
- IPs de replay :
2a13:9241:b54b:cafb:a8c7:a8fd:554d:ec58et2a13:9246:aa74:e116:5346:5d5d:61fb:fb93(ASN 216157) - User-agent replay : Windows 10 / Edge 136
đĄïž Anti-analyse et browser-gating
Le kit inclut une couche de validation navigateur avancée : vérification noscript, champs honeypot, désactivation du clic droit, détection de mouvement souris, timing de clics/touches, canvas fingerprint, WebGL, détection headless/webdriver, détection de console de débogage.
đ Type d’article
Analyse technique dĂ©taillĂ©e publiĂ©e par ZeroBEC, visant Ă documenter l’Ă©volution du kit Sneaky 2FA, fournir des IOCs exploitables et des rĂšgles de dĂ©tection pour les Ă©quipes SOC et threat hunters.
đ§ TTPs et IOCs dĂ©tectĂ©s
TTP
- T1566.002 â Phishing: Spearphishing Link (Initial Access)
- T1078 â Valid Accounts (Defense Evasion)
- T1557 â Adversary-in-the-Middle (Credential Access)
- T1539 â Steal Web Session Cookie (Credential Access)
- T1556.006 â Modify Authentication Process: Multi-Factor Authentication (Credential Access)
- T1036 â Masquerading (Defense Evasion)
- T1027 â Obfuscated Files or Information (Defense Evasion)
- T1090 â Proxy (Command and Control)
- T1598.003 â Phishing for Information: Spearphishing Link (Reconnaissance)
- T1114 â Email Collection (Collection)
IOC
- IPv4 :
192.206.151.131â AbuseIPDB · VT · ThreatFox - IPv6 :
2a13:9241:b54b:cafb:a8c7:a8fd:554d:ec58â AbuseIPDB · VT · ThreatFox - IPv6 :
2a13:9246:aa74:e116:5346:5d5d:61fb:fb93â AbuseIPDB · VT · ThreatFox - Domaines :
isp09981-accessidriveappsigner.dersonmfginc.comâ VT · URLhaus · ThreatFox - Domaines :
dersonmfginc.comâ VT · URLhaus · ThreatFox - URLs :
https://isp09981-accessidriveappsigner.dersonmfginc.com/?e=<email>&utm_*=&campaign=&mid=&eid=â URLhaus - SHA256 :
22b383bee9018beb60be59df9dc5693b710b4fbb460c4ee72249eb6bbb15340bâ VT · MalwareBazaar - SHA256 :
5e8aa39a15e7def1d135b1ac0df79dbe284b69abe59a31ec7cfd93fcfa66999150b9fâ VT · MalwareBazaar - SHA256 :
8ab710d7d1e89f5f91a71585eb37ab543883ee75fdd21f36aadde931b308e3e5â VT · MalwareBazaar - Fichiers :
WXHsGjbUAfdNVqS.js - Fichiers :
OTevt8PWqcLiSqt.js - Fichiers :
tmdiW6MSCrIgxKp.js - Fichiers :
NqrY4TUYVoCuk5iYb.js - Fichiers :
BJTxtkeT893By8ch.js - Fichiers :
zurPmQVUyt3WiHHI.js - Fichiers :
JrsOsXSqVBa29h3tHGQ.js - Fichiers :
bE1j4K896379lrfNGXW.js - Fichiers :
LyliOheDGRJmPJdPZA4.js - Fichiers :
verify_app.png - Fichiers :
verifnotif2.png - Fichiers :
appnotif2.png - Fichiers :
invalid-pw.png - Fichiers :
invalid-code.png - Fichiers :
invalid-sms.png - Fichiers :
empty-sms.png - Fichiers :
verify.png - Fichiers :
verify_code.png - Fichiers :
verify_sms.png
Malware / Outils
- Sneaky 2FA (other)
- WikiKit (other)
- Sneaky Log Phishing-as-a-Service (other)
đą Indice de vĂ©rification factuelle : 87/100 (haute)
- â fortinet.com â source reconnue (liste interne) (20pts)
- â 23156 chars â texte complet (fulltext extrait) (15pts)
- â 28 IOCs dont des hashes (15pts)
- â 2/9 IOCs confirmĂ©s (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
- â 10 TTPs MITRE identifiĂ©es (15pts)
- â date extraite du HTML source (10pts)
- ⏠aucun acteur de menace nommé (0pts)
- ⏠pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
isp09981-accessidriveappsigner.dersonmfginc.com(domain) â VT (8/91 dĂ©tections)dersonmfginc.com(domain) â VT (12/91 dĂ©tections)
đ Source originale : https://www.fortinet.com/blog/threat-research/analysis-of-ongoing-ousaban-attacks-targeting-the-iberian-peninsula