Les chercheurs en cybersécurité ont récemment découvert un nouveau kit de phishing sophistiqué qui cible les comptes Microsoft 365 en contournant les codes d’authentification à deux facteurs (2FA). Baptisé « Sneaky 2FA », ce kit, détecté sur le terrain par la société française Sekoia, illustre l’évolution des menaces en matière de sécurité informatique. Cette nouvelle méthode de phishing représente un défi majeur pour les professionnels et entreprises dépendant des solutions Microsoft 365.
Un kit de phishing AitM sophistiqué et en expansion
Une menace apparue depuis octobre 2024
Le kit de phishing Sneaky 2FA est classé dans la catégorie des attaques « adversary-in-the-middle » (AitM), visant à intercepter les informations sensibles des utilisateurs. Depuis son apparition, près de 100 domaines hébergeant des pages de phishing liées à Sneaky 2FA ont été identifiés. Ces domaines montrent une adoption modérée parmi les cybercriminels, mais l’intérêt qu’il suscite est grandissant.
Un modèle commercial de phishing-as-a-service (PhaaS)
Distribué via un service de cybercriminalité appelé « Sneaky Log », le kit fonctionne selon un modèle Phishing-as-a-Service (PhaaS). Les clients paient un abonnement mensuel de 200 dollars pour recevoir une version obfusquée du code source, qu’ils utilisent ensuite pour lancer leurs propres campagnes malveillantes. Cette offre inclut également un bot Telegram, permettant de gérer les campagnes et de suivre les victimes en temps réel.
Des techniques de phishing avancées
Une infrastructure détournée pour héberger les attaques
Les cybercriminels derrière Sneaky 2FA utilisent des sites WordPress compromis ainsi que des domaines qu’ils contrôlent pour héberger leurs pages frauduleuses. Les pages Web imitent parfaitement les interfaces authentiques de Microsoft, intégrant des adresses e-mail des victimes pour renforcer leur crédibilité. Ces techniques d’usurpation permettent d’abuser de la confiance des utilisateurs.
Des outils anti-bot et des mesures contre l’analyse
Pour éviter la détection, Sneaky 2FA intègre des fonctionnalités avancées comme le filtrage de trafic et la gestion des défis Cloudflare Turnstile. Le kit effectue également des vérifications approfondies pour détecter d’éventuelles analyses avec des outils de développement Web. Les visiteurs suspects, y compris ceux utilisant des adresses IP liées à des centres de données ou des VPN, sont redirigés vers des pages non malveillantes, comme une fiche Wikipédia consacrée à Microsoft, via le service de redirection href[.]li.
Origines et implications du phishing Sneaky 2FA
Une connexion avec le kit W3LL Panel
Selon les experts, Sneaky 2FA pourrait être partiellement basé sur un autre kit de phishing renommé, W3LL Panel. Ce dernier, exposé en 2023, était utilisé pour exécuter des attaques par compromission des courriels professionnels (BEC). Tout comme W3LL Panel, Sneaky 2FA nécessite une vérification régulière avec un serveur central pour activer les licences, renforçant ainsi son positionnement comme produit commercial de cybercriminalité.
Transition depuis d’autres kits de phishing
En examinant les domaines associés à Sneaky 2FA, les chercheurs ont identifié des connexions avec des kits de phishing plus anciens, tels que Evilginx2 et Greatness. Cela suggère que plusieurs cybercriminels abandonnent ces anciens outils pour adopter Sneaky 2FA, qui offre des fonctionnalités plus modernes et des défenses renforcées contre l’analyse.
Face à ces méthodes de phishing en pleine évolution, il est essentiel de renforcer votre posture de sécurité. Les solutions de cybersécurité de CyberCare offrent des outils d’analyse avancés, idéaux pour protéger les entreprises contre ce type de menace. Contactez nos experts pour sécuriser vos échanges et applications cloud.