L'infrastructure de phishing à la demande Tycoon2FA ébranlée

L'infrastructure hébergeant le service Tycoon2FA, qui selon Europol figurait parmi les plus grandes opérations de phishing au monde, a été démantelée par une coalition d'entreprises informatiques et de services de police et de justice. Cela empêche, au moins temporairement, les acteurs malveillants d'accéder à un outil supplémentaire leur permettant de contourner les défenses d'authentification multifactorielle. Europol, qui a coordonné l'opération, a déclaré mercredi que cette interruption technique avait été menée par Microsoft, qui a obtenu une ordonnance rendue par le tribunal fédéral américain du district sud de New York, pour saisir 330 domaines actifs qui alimentaient l'infrastructure centrale de Tycoon2FA, y compris ses panneaux de contrôle et ses pages de connexion frauduleuses. Dans le même temps, les forces de l'ordre en Lettonie, en Lituanie, au Portugal, en Pologne, en Espagne et au Royaume-Uni ont saisi l'infrastructure du service dans leurs pays respectifs. Les partenaires privés impliqués dans cette opération, outre Microsoft, sont les suivants : Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, et Trend Micro.

Microsoft a indiqué qu'à la mi-2025, Tycoon2FA représentait environ 62 % de toutes les tentatives d'hameçonnage qu'il avait bloquées à lui seul ; à un moment donné, le fournisseur a intercepté plus de 30 millions d'e-mails en un seul mois. Il estime que Tycoon2FA, vendu aux pirates comme une plateforme de phishing à la demande, est lié à environ 96 000 victimes dans le monde depuis 2023, dont plus de 55 000 clients de l'éditeur. Ce dernier a déclaré que Tycoon2FA combinait des modèles de phishing convaincants, des pages d'atterrissage réalistes et la capture en temps réel des identifiants et des codes d'authentification dans un ensemble facile à utiliser et rapidement évolutif. « En réduisant les obstacles techniques à l'entrée, il permettait à des criminels disposant d'une expertise limitée de mener des campagnes d'usurpation d'identité sophistiquées », a expliqué le groupe. Il a souligné que la plateforme Tycoon2FA permettait aux acteurs malveillants d'usurper l'identité de marques de confiance en imitant les pages de connexion de services tels que Microsoft 365, OneDrive, Outlook, SharePoint et Gmail, tout en leur permettant d'utiliser son service pour établir une persistance. Les criminels pouvaient également accéder à des informations sensibles, même après la réinitialisation des mots de passe, en interceptant les cookies de session générés pendant le processus d'authentification tout en capturant simultanément les identifiants des utilisateurs, à moins que les sessions actives et les jetons ne soient explicitement révoqués. Les codes d'authentification multifactorielle (MFA) interceptés étaient ensuite relayés via les serveurs proxy de Tycoon2FA vers le service d'authentification.

Touché mais pas coulé

Cette opération est la dernière d'une série d'efforts conjoints entre l'industrie informatique et les services de police et de justice visant à lutter contre l'infrastructure informatique des criminels. Cependant, les experts ont averti les responsables de la sécurité informatique de ne pas baisser la garde. La cybercriminalité est si lucrative que soit cet outil sera distribué ailleurs, soit un autre outil prendra sa place. « Les outils de phishing conçus pour contourner les reverse proxy continuent d'évoluer », a fait remarquer Robert Beggs, directeur de la société canadienne en réponse à incidents Digital Defence. « Des variantes commerciales telles que EvilProxy sont couramment utilisées, et les boîtes à outils open source telles que EvilGinx, Modlishka et EvilPunch deviennent l'option privilégiée des pirates. » Johannes Ullrich, doyen de la recherche au SANS Institute, a fait remarquer que les courtiers en accès initial tels que Tycoon2FA sont généralement moins sensibles aux suppressions de domaines que les opérateurs de malware utilisant des domaines pour leur infrastructure de commande et contrôle (C2). « Il leur faudra probablement un peu de temps pour reconstruire les domaines qu'ils utilisent dans le cadre de leurs opérations, mais je doute qu'ils disparaissent. D'un autre côté, il y a de quoi se réjouir : au moins un répit temporaire des e-mails de phishing de Tycoon2FA », a-t-il indiqué dans un e-mail. « Les RSSI devraient toutefois se concentrer sur la sécurité des identités, en particulier les technologies d'authentification résistantes au phishing. L'authentification multifactorielle n'est pas suffisante si elle reste vulnérable au phishing. Un outil récemment développé, Starkiller, a ajouté une nouvelle option permettant aux pirates d'exploiter les configurations MFA insuffisantes. »

Robert Beggs a souligné que Tycoon2FA doit son succès à sa simplicité d'utilisation, basée sur un reverse proxy, qui permet au programme hostile, l'attaquant, de se placer virtuellement au milieu d'une transaction et d'intercepter les identifiants d'accès et les cookies. Cette configuration procure une capacité à contourner l'authentification double facteur sur laquelle s'appuient la plupart des entreprises pour se protéger contre les attaques de phishing. Les DSI doivent mettre en place des défenses rigoureuses contre les outils qui utilisent des reverse proxy, poursuit M. Beggs. Comment ? En renforçant le filtrage des e-mails grâce à l'application des protocoles DMARC, DKIM et SPF, en imposant une gestion sécurisée des sessions à l'edge à l'aide de jetons clients et associés à des certificats de terminaux ou TLS. Mais aussi en assurant une validation continue en cas d'enregistrement d'une nouvelle empreinte digitale sur un terminal enrôlé et en utilisant des cookies à courte durée de vie, surveiller le trafic réseau à la recherche de signes de comportements de type man-in-the-middle, tels que des en-têtes d'hôte incohérents, des en-têtes ajoutés par proxy et des divergences de timing entre les flux client et serveur. Ou encore adopter une authentification multifacteurs (MFA) résistante au phishing avec des outils tels que les clés matérielles FIDO2/WebAuthn, des passkeys ou l'authentification basée sur des certificats. « Comme l'authentification est liée au domaine et que les processus de chiffrement ne peuvent pas être rejoués via un reverse proxy, ces méthodes ne peuvent pas être contournées par lui », a-t-il ajouté.

Fonctionnement de Tycoon2FA

Les services de phishing Tycoon2FA étaient proposés et vendus aux cybercriminels sur des applications telles que Telegram et Signal, a déclaré Microsoft dans un autre billet de blog. Les prix variaient, mais les kits de phishing étaient proposés à partir de 120 $ pour 10 jours d'accès à une console d'administration, qui servait de tableau de bord unique pour configurer, suivre et affiner les campagnes. Pour les défenseurs qui ne savent pas à quel point ces opérations SaaS criminelles peuvent être complètes, voici un aperçu du service Tycoon2FA : les opérateurs de campagne pouvaient configurer un large ensemble de paramètres de campagne contrôlant la manière dont le contenu de phishing est livré et présenté aux cibles. Les paramètres clés comprennent la sélection des modèles d'appât et la personnalisation de la marque, le routage de redirection, le comportement d'interception MFA, l'apparence et la logique Captcha, la génération de pièces jointes et la configuration de l'exfiltration.

Tycoon2FA a généré un grand nombre de sous-domaines pour des campagnes de phishing individuelles, utilisés brièvement puis abandonnés pour en créer de nouveaux. Il pouvait également configurer la manière dont le contenu malveillant était diffusé. Les options comprenaient la génération de fichiers EML, de PDF et de codes QR, apportant ainsi plusieurs moyens de conditionner et de distribuer les leurres de phishing. Les opérateurs pouvaient suivre les tentatives de connexion valides et invalides, l'utilisation de MFA et la capture des cookies de session et les données des victimes, celles-ci étant organisées par attributs tels que le service ciblé, le navigateur, l'emplacement et le statut d'authentification. Les identifiants et les cookies de session capturés pouvaient être consultés ou téléchargés directement dans le panneau et/ou transférés vers Telegram pour une surveillance en temps quasi réel. « Tycoon2FA illustre l'évolution des kits de phishing en réponse au renforcement des défenses des entreprises, en adaptant ses leurres, son infrastructure et ses techniques d'évasion pour rester à l'abri de la détection », a déclaré Microsoft. « À mesure que les organisations adoptent de plus en plus l'authentification multifactorielle, les attaquants se tournent vers des outils qui ciblent le processus d'authentification lui-même, au lieu d'essayer de le contourner. Allié à son prix abordable, à son évolutivité et à sa facilité d'utilisation, Tycoon2FA représentait une menace persistante et importante pour les comptes des consommateurs et des entreprises, en particulier ceux qui s'appuient sur l'authentification multifactorielle comme principale mesure de sécurité. »