MFA Bypass

📰 Source : The Register — Article publié le 7 avril 2026, basé sur des déclarations de Tanmay Ganacharya, VP de la recherche en sécurité chez Microsoft, et un blog technique de Microsoft publié le 7 avril 2026. Contexte Depuis le 15 mars 2026, une campagne de phishing par device code OAuth 2.0 cible des centaines d’organisations à l’échelle mondiale. Microsoft observe 10 à 15 campagnes distinctes lancées toutes les 24 heures, chacune distribuée à grande échelle avec des payloads variés et uniques, rendant la détection par signatures difficile. ...

📰 Source : BleepingComputer | Date : 8 avril 2026 | Auteur de référence : Austin Larsen, analyste principal chez Google Threat Intelligence Group (GTIG) 🎯 Contexte général Le groupe de menace UNC6783 mène des campagnes ciblant des prestataires de services externalisés (BPO) afin d’atteindre indirectement des entreprises de grande valeur dans plusieurs secteurs. Selon GTIG, des dizaines d’entités ont été compromises dans le but d’exfiltrer des données sensibles à des fins d’extorsion. ...

🗓️ Contexte Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observée Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026. ...

🌐 Contexte Cet article est publié le 24 mars 2026 par CrowdStrike sur son blog officiel. Il analyse l’impact de l’opération de démantèlement de Tycoon2FA, une plateforme Phishing-as-a-Service (PhaaS) par abonnement, annoncée par Europol le 4 mars 2026. 🎯 Description de la menace Tycoon2FA est opérationnelle depuis 2023. Elle fournit un kit de phishing basé sur des techniques adversary-in-the-middle (AITM) permettant de contourner l’authentification multifacteur (MFA). En mi-2025, elle était responsable de 62% de toutes les tentatives de phishing bloquées par Microsoft et aurait généré plus de 30 millions d’emails malveillants en un seul mois. ...

Source et contexte: Microsoft Threat Intelligence (microsoft.com) publie une analyse technique approfondie de Tycoon2FA, un kit de phishing‑as‑a‑service (PhaaS) opéré par l’acteur Storm‑1747, apparu en août 2023 et utilisé dans des campagnes diffusant des dizaines de millions de messages chaque mois vers plus de 500 000 organisations. • Portée et capacités: Tycoon2FA fournit des fonctions Adversary‑in‑the‑Middle (AiTM) permettant de bypasser la MFA en interceptant les identifiants et cookies de session lors de l’authentification, puis en relayant les codes MFA via des proxys. Il mime des pages de connexion de Microsoft 365, Outlook, OneDrive, SharePoint, Gmail, etc., et peut maintenir l’accès même après un reset de mot de passe si les sessions/tokens ne sont pas révoqués. ...

Selon Silent Push (alerte du 26 janvier 2026), une campagne massive d’usurpation d’identité menée par le groupe SLSH cible des comptes SSO d’entreprises à forte valeur (dont Okta), via une infrastructure de phishing en direct couplée à des opérations de vishing. ⚠️ SLSH (« Scattered LAPSUS$ Hunters ») est une alliance de Scattered Spider, LAPSUS$ et ShinyHunters. Leur opération n’est pas automatisée mais pilotée par des humains, synchronisant appels téléphoniques aux employés/Help Desk et pages de phishing qui reproduisent les écrans d’authentification pour intercepter identifiants et tokens MFA en temps réel et obtenir un accès immédiat aux tableaux de bord d’entreprise. ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Cyber Security News rapporte début janvier 2026 que The Shadowserver Foundation a ajouté la vulnérabilité Fortinet CVE-2020-12812 à son rapport quotidien des services HTTP vulnérables, confirmant plus de 10 000 pare-feu FortiGate exposés dans le monde, alors que Fortinet a reconnu une exploitation active fin 2025. La faille CVE-2020-12812 (score CVSS 7.5 – High) affecte les portails FortiOS SSL VPN (versions 6.4.0, 6.2.0 à 6.2.3, et 6.0.9 et antérieures) et permet un contournement du MFA. Un attaquant peut se connecter en modifiant simplement la casse du nom d’utilisateur (ex. “user” → “User”) en raison d’un décalage de sensibilité à la casse entre FortiGate (utilisateurs locaux sensibles à la casse) et des serveurs LDAP tels qu’Active Directory (souvent insensibles à la casse), ce qui autorise l’authentification par appartenance à un groupe sans demander le deuxième facteur. La vulnérabilité figure depuis 2021 au catalogue CISA KEV après un usage par des acteurs de ransomware. ...

Selon CYFIRMA, le paysage ransomware de septembre 2025 affiche une forte intensification des capacités techniques et opérationnelles, avec 504 victimes dans le monde et une concentration aux États-Unis. Les chiffres et cibles 🎯 504 victimes recensées mondialement en septembre 2025, dont 294 aux États-Unis. Secteurs principalement touchés : services professionnels, manufacture, services aux consommateurs. Qilin reste dominant, tandis que Incransom et Safepay progressent nettement. Évolutions techniques marquantes 🔧 Akira est passé de l’exploitation de CVE-2024-40766 à un contournement MFA via vol des seeds OTP sur VPN SonicWall. MalTerminal intègre GPT-4 pour la génération de charges utiles à l’exécution, créant des ransomwares adaptatifs qui contournent la détection statique. HybridPetya arme des bootkits UEFI en exploitant le contournement Secure Boot (CVE-2024-7344), avec chiffrement du MFT au niveau firmware pour une persistance pré-boot. CountLoader se présente comme une plateforme modulaire multi-langages (.NET, PowerShell, JavaScript) diffusant Cobalt Strike, AdaptixC2 et PureHVNC RAT, avec abus de LOLBins et chiffrement PowerShell à la volée. Opérations et acteurs 🕵️ ...

Selon PIXM Security (Chris Cleveland), ce rapport couvre une montée marquée des campagnes de phishing mi-fin septembre, avec une vague notable hébergée sur l’infrastructure Backblaze, l’emploi de kits Attack-in-the-Middle (AiTM) pour voler les codes MFA et cookies de session, et une hausse des scarewares Microsoft et des leurres visant des comptes personnels (American Express, Netflix). Le 23 septembre, des pages hébergées sur des domaines Backblaze B2 ont été cliquées par 10 utilisateurs dans une demi-douzaine d’organisations au Kentucky et au Minnesota. Les identifiants étaient exfiltrés via l’API Bot de Telegram. Les leurres renvoyaient à des fichiers OneDrive et évoquaient des bons de commande (achats), ciblant probablement les équipes de procurement. ...