Kit de phishing 2FA sournois : une menace dangereuse pour la sécurité en ligne

computer malware

L'authentification à deux facteurs (2FA) est depuis longtemps une mesure de sécurité fiable pour protéger les comptes utilisateurs. Cependant, un outil de phishing sophistiqué appelé Sneaky 2FA a fait son apparition, ciblant les comptes protégés par 2FA en exploitant la confiance dans les mesures de sécurité. Identifié pour la première fois fin 2024, ce kit illustre l'évolution des attaques de phishing, soulignant la nécessité de pratiques de sécurité en ligne robustes.

Qu'est-ce que le kit de phishing Sneaky 2FA ?

Sneaky 2FA est un outil de phishing-as-a-service (PhaaS) avancé conçu pour voler des identifiants et des codes 2FA, ciblant principalement les comptes Microsoft 365. Développé et vendu via un service basé sur Telegram appelé « Sneaky Log », le kit permet aux cybercriminels de mener des campagnes de phishing avec un minimum d'effort technique. Pour 200 $ par mois, les clients ont accès à une version sous licence et obscurcie du code source, qu'ils déploient de manière indépendante.

Cet outil de phishing a gagné en popularité auprès des cybercriminels, les chercheurs ayant identifié près de 100 domaines hébergeant des pages de phishing 2FA sournoises. Des fonctionnalités telles que la saisie automatique d'adresses e-mail sur les pages de phishing améliorent sa fonctionnalité, rendant les fausses invites de connexion plus légitimes.

L'objectif de Sneaky 2FA

L'objectif principal de Sneaky 2FA est de collecter les identifiants de connexion et les codes 2FA. Armés de ces informations, les attaquants peuvent contourner les mesures de sécurité des comptes, obtenir potentiellement un accès non autorisé à des données sensibles ou utiliser les comptes compromis pour exécuter d'autres attaques, telles que la compromission de messagerie professionnelle (BEC).

Pour attirer leurs victimes, les pirates envoient souvent des e-mails contenant de faux reçus de paiement, incitant les destinataires à ouvrir des fichiers PDF malveillants contenant des codes QR. La lecture de ces codes redirige les utilisateurs vers des pages de phishing qui imitent les écrans d'authentification Microsoft légitimes.

Une boîte à outils trompeuse et résiliente

Ce qui distingue Sneaky 2FA, c'est sa conception sophistiquée. Les pages de phishing sont hébergées sur des sites Web WordPress compromis ou d'autres domaines contrôlés par des attaquants, ce qui garantit une disponibilité généralisée. Pour échapper à la détection, le kit utilise diverses techniques, notamment :

  • Filtrage du trafic : garantit que seuls les utilisateurs ciblés accèdent aux pages de vol d'informations d'identification.
  • Défis de Cloudflare Turnstile : aide à bloquer les robots et les outils automatisés.
  • Fonctionnalités anti-analyse : résiste à l’examen des outils de développement du navigateur.

De plus, le kit redirige les utilisateurs identifiés comme des robots, des proxys ou des utilisateurs VPN vers des pages Wikipédia légitimes liées à Microsoft, masquant davantage ses activités.

Liens vers d'autres outils de phishing

Les chercheurs ont découvert des similitudes entre Sneaky 2FA et d'autres kits de phishing, tels que W3LL Panel, un outil associé aux attaques de compromission de courrier électronique professionnel. Une partie du code de Sneaky 2FA semble être dérivée d'outils antérieurs, bien que ses développeurs aient ajouté des fonctionnalités uniques.

Il est intéressant de noter que les domaines associés à d’anciens kits de phishing comme Evilginx2 et Greatness ont été réutilisés pour Sneaky 2FA, ce qui suggère que certains cybercriminels sont passés à ce nouveau service.

Conséquences d'une authentification à deux facteurs sournoise

L’émergence de Sneaky 2FA souligne l’adaptabilité des attaques de phishing et leur impact potentiel. En ciblant les comptes protégés par 2FA, cet outil porte atteinte à l’une des couches de sécurité les plus fiables. Les comptes compromis peuvent entraîner des violations de données, des transactions non autorisées et des atteintes à la réputation des organisations et des individus concernés.

De plus, la disponibilité de tels outils via les modèles PhaaS abaisse la barrière d’entrée pour les cybercriminels, permettant même à ceux qui ont une expertise technique limitée de lancer des attaques sophistiquées.

Comment fonctionne Sneaky 2FA

L'un des aspects notables de Sneaky 2FA est son recours à un serveur central pour vérifier le statut de la licence de ses clients. Ce modèle de licence garantit que seuls les abonnés payants peuvent accéder au kit et l'utiliser. Les pages de phishing elles-mêmes utilisent des images floues d'interfaces Microsoft légitimes, trompant les utilisateurs en leur faisant croire qu'il s'agit d'écrans de connexion authentiques.

L'outil intègre également des chaînes d'agent utilisateur codées en dur qui changent au cours des différentes étapes du processus d'authentification. Ces chaînes imitent certains comportements légitimes mais s'écartent suffisamment pour aider les chercheurs en sécurité à les détecter.

Rester vigilant face aux attaques de phishing

Bien que la 2FA sournoise représente une menace avancée, son succès dépend de sa capacité à tromper les utilisateurs. Il est essentiel de reconnaître les signes des campagnes de phishing :

  • Soyez prudent avec les e-mails non sollicités, en particulier ceux dont l’objet ou les pièces jointes sont liés au paiement.
  • Évitez de scanner des codes QR provenant de sources inconnues.
  • Vérifiez les URL avant de saisir vos identifiants de connexion, en vous assurant qu'elles appartiennent à des sites Web légitimes.

Les organisations doivent également sensibiliser les employés aux tactiques de phishing et mettre en œuvre des mesures de sécurité supplémentaires, telles que des clés de sécurité matérielles, pour renforcer la 2FA.

Conclusion

L'essor d'outils comme Sneaky 2FA souligne la nécessité constante de faire preuve de vigilance dans le paysage numérique. En comprenant le fonctionnement de ces kits de phishing et en adoptant des pratiques de sécurité proactives, les particuliers et les organisations peuvent mieux se protéger contre les menaces en constante évolution. Si la 2FA reste une mesure de sécurité essentielle, il est essentiel de rester informé et de s'adapter aux nouveaux défis dans la lutte contre la cybercriminalité.

Par Willa
January 20, 2025
Phishing
Français
January 20, 2025
Phishing

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.