L’opération SaaS était utilisée pour envoyer des millions d’e-mails malveillants par mois.
L’infrastructure hébergeant le service Tycoon2FA, qui, selon Europol, compte parmi les plus grandes opérations de phishing au monde, a été démantelée par une coalition de sociétés informatiques et d’organismes chargés de l’application de la loi.
Au moins temporairement, cela supprime l’accès à un outil supplémentaire permettant d’échapper aux défenses d’authentification multifactorielle des acteurs malveillants.
Europol, qui a coordonné l’opération, a déclaré mercredi que la perturbation technique était due à Microsoft, qui a obtenu une ordonnance d’un tribunal américain pour saisir 330 domaines actifs qui alimentaient l’infrastructure principale de Tycoon2FA, y compris ses panneaux de contrôle et ses pages de connexion frauduleuses. Dans le même temps, les forces de l’ordre en Lettonie, en Lituanie, au Portugal, en Pologne, en Espagne et au Royaume-Uni ont saisi l’infrastructure du service dans leurs pays.
Parmi les autres sociétés informatiques impliquées dans l’opération figuraient Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud et Trend Micro.
Microsoft a noté qu’à la mi-2025, Tycoon2FA représentait environ 62 % de toutes les tentatives de phishing qu’il avait bloqué à lui seul ; à un moment donné, il a intercepté plus de 30 millions d’e-mails en un seul mois. Il estime que Tycoon2FA, vendu aux acteurs malveillants en tant qu’opération de phishing en tant que service, est lié à environ 96 000 victimes de phishing distinctes dans le monde depuis 2023, dont plus de 55 000 clients Microsoft.
(Contenu associé : États-Unis et Microsoft écrasent Lumma Stealer)
La société a déclaré que Tycoon2FA combinait des modèles de phishing convaincants, des pages de destination réalistes et une capture en temps réel des informations d’identification et des codes d’authentification dans un package facile à utiliser et évoluant rapidement. « En abaissant les barrières techniques à l’entrée, cela a permis à des criminels ayant une expertise limitée de mener des campagnes d’usurpation d’identité sophistiquées », a déclaré Microsoft dans un blog.
Il a noté que la plate-forme Tycoon2FA permettait aux acteurs malveillants de se faire passer pour des marques de confiance en imitant les pages de connexion pour des services tels que Microsoft 365, OneDrive, Outlook, SharePoint et Gmail, ainsi qu’en permettant aux acteurs malveillants utilisant son service d’établir la persistance.
Les criminels pourraient également accéder à des informations sensibles, même après la réinitialisation des mots de passe, en interceptant les cookies de session générés lors du processus d’authentification tout en capturant simultanément les informations d’identification des utilisateurs, à moins que les sessions actives et les jetons ne soient explicitement révoqués. Les codes d’authentification multifacteur (MFA) interceptés ont ensuite été relayés via les serveurs proxy de Tycoon2FA vers le service d’authentification.
Ne soyez pas complaisant : experts
Ce démantèlement est le dernier d’une série d’efforts coopératifs de l’industrie informatique et des forces de l’ordre pour s’attaquer à l’infrastructure informatique des criminels.
« Les outils de phishing conçus pour contourner les proxys inverses continuent d’évoluer », a noté Robert Beggs, directeur de la société canadienne de réponse aux incidents Digital Defence. « Des variantes commerciales telles que EvilProxy sont couramment trouvées dans la nature, et des boîtes à outils open source comme EvilGinx, Modlishka, EvilPunch deviennent l’option incontournable pour les attaquants. »
Johannes Ullrich, doyen de la recherche à l’Institut SANS, a noté que les courtiers d’accès comme Tycoon2FA sont généralement moins sensibles aux suppressions de domaines que les opérateurs de logiciels malveillants qui utilisent des domaines pour leur infrastructure de commande et de contrôle.
« Il leur faudra probablement un peu de temps pour reconstruire les domaines à utiliser dans leurs opérations », a-t-il déclaré dans un e-mail, « mais je doute qu’ils disparaissent. D’un autre côté, il y a des raisons de se réjouir : au moins un sursis temporaire des e-mails de phishing Tycoon2FA. »
(Contenu associé : le DOJ saisit 41 domaines contrôlés par la Russie)
Beggs a souligné que Tycoon2FA doit son succès à être un système simple à utiliser basé sur un proxy inverse. Cette configuration lui permet de contourner l’authentification à deux facteurs sur laquelle s’appuient la plupart des organisations pour assurer une protection contre les attaques de phishing, a-t-il déclaré. Le proxy inverse permet au programme hostile, l’attaquant, de se placer virtuellement au milieu d’une transaction et d’intercepter les identifiants d’accès et les cookies.
Des défenses strictes sont nécessaires
Étant donné que l’authentification est liée à l’origine (domaine) et que les défis cryptographiques ne peuvent pas être rejoués via un proxy inverse, ces méthodes ne peuvent pas être proxy, a-t-il ajouté.
Comment fonctionnait le service
Les services de phishing Tycoon2FA ont été annoncés et vendus aux cybercriminels sur des applications telles que Telegram et Signal, a déclaré Microsoft dans un blog séparé. Les prix variaient, mais les kits de phishing commençaient à 120 $ pour 10 jours d’accès à un panneau d’administration, qui servait de tableau de bord unique pour configurer, suivre et affiner les campagnes.
Pour les défenseurs qui ne savent pas à quel point ces opérations SaaS criminelles peuvent être complètes, voici un aperçu du service de Tycoon2FA : Les opérateurs de campagne peuvent configurer un large ensemble de paramètres de campagne qui contrôlent la manière dont le contenu de phishing est livré et présenté aux cibles. Les paramètres clés incluent la sélection de modèles de leurre et la personnalisation de la marque, le routage de redirection, le comportement d’interception MFA, l’apparence et la logique CAPTCHA, la génération de pièces jointes et la configuration de l’exfiltration.
Tycoon2FA a généré un grand nombre de sous-domaines pour des campagnes de phishing individuelles, les a utilisés brièvement, puis les a supprimés et en a créé de nouveaux.
Ils pourraient également configurer la manière dont le contenu malveillant est diffusé. Les options incluent la génération de fichiers EML, de PDF et de codes QR, offrant plusieurs façons de conditionner et de distribuer des leurres de phishing.
Les opérateurs pourraient suivre les tentatives de connexion valides et non valides, l’utilisation du MFA et la capture des cookies de session, avec des données sur les victimes organisées par attributs tels que le service ciblé, le navigateur, l’emplacement et le statut d’authentification. Les identifiants capturés et les cookies de session peuvent être consultés ou téléchargés directement dans le panneau et/ou transmis à Telegram pour une surveillance en temps quasi réel.
« Tycoon2FA a illustré l’évolution des kits de phishing en réponse aux défenses croissantes des entreprises, en adaptant leurs leurres, leur infrastructure et leurs techniques d’évasion pour garder une longueur d’avance sur la détection », a déclaré Microsoft.
« À mesure que les organisations adoptent de plus en plus la MFA, les attaquants se tournent vers des outils qui ciblent le processus d’authentification lui-même, au lieu de tenter de le contourner. Associé à son prix abordable, son évolutivité et sa facilité d’utilisation, Tycoon2FA constitue une menace persistante et importante pour les comptes des particuliers et des entreprises, en particulier ceux qui s’appuient sur la MFA comme principale protection. »
