2FA log in

Les kits de phishing hybrides 2FA rendent les attaques plus difficiles à détecter

Lucas Morel

Un nouvel hybride Salty-Tycoon passe à travers les défenses sans être détecté et affaiblit la MFA de l’entreprise.

Certaines attaques de phishing 2FA deviennent beaucoup plus difficiles à détecter, car les acteurs malveillants mélangent deux kits de phishing en tant que service (PhaaS) auparavant distincts : Salty2FA et Tycoon2FA, en une seule souche hybride.

Les chercheurs d’Any.Run préviennent que l’hybride contourne déjà les règles de détection adaptées à l’un ou l’autre kit seul. Les alertes qui détectaient autrefois de manière fiable l’activité de Salty2FA ou Tycoon2FA sont désormais silencieuses, laissant les équipes de sécurité aveugles aux attaques de contournement MFA qui déclenchaient auparavant des signatures évidentes.

L’analyse au niveau du code des chercheurs a confirmé les charges utiles hybrides, ont-ils déclaré dans un article de blog. « Les premières étapes correspondaient à Salty2FA, tandis que les étapes ultérieures reproduisaient la chaîne d’exécution de Tycoon2FA presque ligne par ligne », ont-ils écrit. « Ce chevauchement marque un changement significatif ; un changement qui affaiblit les règles spécifiques aux kits, complique l’attribution et donne aux acteurs malveillants plus de marge pour échapper à la détection précoce. »

Salty2FA et Tycoon2FA sont tous deux des kits de contournement d’authentification multifacteur qui capturent les informations d’identification des utilisateurs et les données de session via des flux logiques trompeurs à plusieurs étapes.

Any.Run a conseillé aux responsables de la sécurité de ne pas s’appuyer sur des indicateurs statiques, car les flux d’exécution hybrides qu’ils ont observés ne peuvent être repérés qu’en surveillant de près les modèles de comportement et les routines de repli de la nouvelle souche.

Tycoon a relancé un Salty chancelant

Selon les chercheurs, l’émergence de cette souche hybride de phishing coïncide avec une forte baisse de l’activité pure de Salty2FA. En novembre 2025, les soumissions liées à Salty2FA au bac à sable d’Any.Run ont chuté de centaines par semaine à seulement une poignée (51 au total).

Alors qu’il semblait que le framework était en train d’être abandonné, il se transformait simplement pour revenir à Tycoon2FA chaque fois que son infrastructure d’origine rencontrait des problèmes. « Une analyse a montré l’utilisation du CDN ASP.NET, ce qui n’est pas typique du kit Salty2FA », ont déclaré les chercheurs. « On a commencé à avoir l’impression que quelqu’un avait actionné un interrupteur et mis hors ligne une partie importante de l’infrastructure du framework. »

Mais plutôt qu’un arrêt total, les échantillons ont rapidement commencé à lancer des détections pour Salty2FA et Tycoon2FA. Finalement, les charges utiles hybrides ont commencé avec des éléments Salty familiers, notamment l’obscurcissement du code, le JavaScript « trampoline » et les modèles de domaine, puis sont passées à la chaîne d’exécution de Tycoon2FA, y compris les domaines basés sur DGA et le comportement Adversary-in-the-Middle (AiTM).

Les chercheurs ont déclaré que le chevauchement compliquerait la détection basée sur les signatures, et que les règles adaptées uniquement à Salty ou Tycoon pourraient désormais manquer complètement l’hybride.

Se défendre contre une double attaque

Pour les défenseurs, cela signifie que l’attribution devient plus trouble, que les hypothèses de chasse sont plus faibles et qu’une détection précoce est beaucoup plus difficile. Any.Run a averti que le recours à des indicateurs statiques de compromission tels que les domaines et les URL n’est plus suffisant ; ils doivent désormais surveiller les modèles de comportement, les routines de secours et les flux d’exécution hybrides pour détecter les signes d’activité de campagne.

« Si l’infrastructure Salty devient indisponible, la même campagne peut basculer vers Tycoon2FA sans laisser de rupture nette », ont noté les chercheurs. « La chasse aux menaces doit rechercher ces transitions pour éviter de manquer des preuves à l’appui. »

Selon les chercheurs, l’essor des kits de phishing hybrides 2FA devrait préparer les défenseurs à des campagnes fonctionnant de manière plus flexible, plus modulaire et avec une plus grande tolérance aux pannes d’infrastructure.

Jusqu’à récemment, la campagne Salty2FA battait son plein, violant les protections MFA avec un mélange de tactiques avancées, notamment le masquage au sein de plateformes fiables comme Cloudflare Turnstile. Sa fusion avec Tycoon2FA constitue une menace sérieuse, compte tenu du fait que ce dernier est déjà imputé à près de 90 % des récents incidents PhaaS.

Contrôle d’accèsAuthentificationCybercriminalitéGestion des identités et des accèsPhishingSécuritéIngénierie sociale

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Gemini, Google, Smartphone
Gemini pour Chrome dispose d’un deuxième agent IA pour le surveiller
Cyberattaques contre les universités | Chouette noire
Cyberattaques contre les universités | Chouette noire
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern