Phishing 2.0 : Tycoon 2FA, Split-Click et Malware Fileless, l'arsenal qui contourne vos protections MFA

Partager
Phishing 2.0 : Tycoon 2FA, Split-Click et Malware Fileless, l'arsenal qui contourne vos protections MFA
La directive MFA (Double Facteur d'Authentification) n’est plus la "garantie Darty" pour sécuriser les accès aux services cloud.

La double authentification n'est plus une forteresse imprenable. Les chercheurs de Barracuda viennent de mettre en lumière une série de tactiques sophistiquées -de l'exploitation de pages Microsoft légitimes au "split-click"- qui redéfinissent le paysage des menaces e-mail. Pour les professionnels de la cybersécurité, l'heure est à la plus grande vigilance ! Focus sur les dernières tactiques des attaquants. 

Les attaques de phishing ne cherchent plus seulement vos identifiants, elles infiltrent désormais vos systèmes avec une précision chirurgicale, rendant les analyses « forensiques » et les scanners automatisés de plus en plus inopérants.

La directive MFA (Double Facteur d'Authentification) n’est plus la panacée pour sécuriser les accès aux services cloud. Les cybercriminels ont rapidement évolué et sont désormais capables de neutraliser cette barrière.

Les dernières observations du Barracuda Email Threat Radar confirment cette tendance inquiétante : « les cybercriminels ne se contentent plus de copier des pages de connexion ; ils les détournent ».

Tycoon 2FA : L'Adversary-in-the-Middle (AitM) à grande échelle

 L'attaque Tycoon 2FA illustre parfaitement cette mutation. Désormais, plus de page de phishing grossièrement imitée. Les attaquants utilisent une véritable page de connexion Microsoft. En agissant comme un proxy (technique AitM), ils interceptent les jetons de session en temps réel.

Le scénario est rodé : une notification de boîte de réception saturée, une invitation à une réunion de sécurité, et un bouton de "libération" des messages. En cliquant, la victime est redirigée via une plateforme de Phishing-as-a-Service vers la page légitime. Résultat : l'attaquant obtient un accès immédiat et persistant aux services Microsoft 365, contournant de facto les protections MFA.

 PDF et "Kill Switch" : le cauchemar des « forensiques »

 La détection automatisée des URL est mise à mal par l'utilisation de pièces jointes PDF. En déplaçant les liens malveillants du corps de l'e-mail vers le document, les attaquants échappent aux scanners de messagerie.

Plus critique encore, ces campagnes intègrent des mécanismes de "kill switch" : l'infrastructure de phishing s'autodétruit après un délai prédéfini. Cette tactique rend les analyses post-mortem extrêmement complexes, voire impossibles, pour les équipes SOC. L'utilisation de CAPTCHA dans le processus d'authentification d'appareil (device code phishing) ajoute une couche supplémentaire pour bloquer les analyses automatisées.

 La technique du "Split-Click" : un leurre redoutable pour scanners

 L'une des découvertes les plus ingénieuses est la technique du "split-click". Un bouton unique dans l'e-mail présente deux comportements distincts selon la zone cliquée : -Zone supérieure : redirection vers une page Microsoft légitime (pour tromper les scanners d'URL automatisés). -:Zone inférieure : redirection vers une page de phishing via une blob URL générée par le navigateur.

Cette interaction, rare et complexe, est conçue spécifiquement pour déjouer les systèmes de sécurité qui ne testent que la version "saine" du lien.

 Du vol d'identifiants à l'exécution de malwares

 Le phishing ne se limite plus à la collecte de credentials. Les équipes de Barracuda observent une transition vers la distribution directe de malwares. Les fausses factures laissent place à des scripts JavaScript obfusqués ou à du malware fileless.

Dans ce dernier cas, le script reconstruit une URL en mémoire et exécute sa charge utile via les composants ActiveX de Windows. Puisqu'aucun fichier n'est écrit sur le disque, ces attaques passent sous le radar des solutions EDR traditionnelles basées sur l'analyse de fichiers.

 Conclusion pour les équipes de sécurité

 Ces nouvelles tactiques imposent une remise en question des stratégies de défense. La simple sensibilisation des utilisateurs ne suffit plus face à des pages Microsoft authentiques. Les organisations doivent désormais :

-Renforcer la visibilité sur les jetons de session et les accès anormaux.

-Adopter une approche de défense en profondeur qui ne repose pas uniquement sur le MFA.

-Intégrer des solutions de sécurité e-mail basées sur l'IA capables d'analyser le comportement des liens et des scripts en temps réel, plutôt que de se fier aux signatures statiques.

Pour résumer, le phishing est entré dans une ère d'automatisation et d'évasion. La réponse doit être tout aussi agile !

Lire la suite