La plateforme de hameçonnage Tycoon2FA a été enrichie pour prendre en charge les attaques par code d’appareil. Elle emploie désormais des liens de suivi de la plateforme de sécurité Trustifi pour détourner des comptes Microsoft 365.
Une opération policière internationale avait perturbé Tycoon2FA en mars. Mais ses opérateurs ont reconstruit l’infrastructure sur de nouveaux serveurs. Leurs niveaux d’activité sont rapidement revenus à la normale.
Début mai, la société Abnormal Security a constaté qu’elle fonctionnait de nouveau normalement. Ses développeurs ont même ajouté de nouvelles couches d’obscurcissement pour renforcer sa résistance face à de futures tentatives de démantèlement.
Fin avril, Tycoon2FA a été observé dans une campagne qui exploite les flux d’autorisation d’appareil du protocole OAuth 2.0. L’objectif était de compromettre des comptes Microsoft 365, ce qui montre que l’outil continue d’évoluer.
L’hameçonnage par code d’appareil fonctionne de manière spécifique. Les pirates envoient une demande d’autorisation d’appareil au fournisseur du service visé. Ils transmettent ensuite le code généré à la victime, qu’ils trompent pour qu’elle le saisisse sur la page de connexion légitime du service.
Cette action autorise le pirate à enregistrer un appareil frauduleux sur le compte Microsoft 365 de la victime. Il obtient alors un accès complet aux données et services, ce qui inclut les courriels, l’agenda et le stockage de fichiers dans le cloud.
La société Push Security a récemment alerté sur la multiplication de ces attaques. Leur nombre a été multiplié par 37 cette année. Au moins dix plateformes de « hameçonnage en tant que service » et kits privés les utilisent. Un rapport plus récent de Proofpoint confirme une augmentation similaire.
Tycoon2FA adopte l’attaque par code d’appareil
De nouvelles recherches de l’entreprise de détection et de réponse gérées eSentire confirment que cette méthode est devenue très populaire chez les cybercriminels.
L’attaque débute lorsqu’une victime clique sur un lien de suivi Trustifi dans un courriel d’appât. Elle aboutit à ce que la victime accorde par inadvertance des jetons OAuth à un appareil contrôlé par le pirate. Ceci passe par le flux légitime de connexion d’appareil de Microsoft, sur microsoft.com/devicelogin.
Pour relier ces deux points, une chaîne de diffusion en quatre couches s’exécute dans le navigateur. La technique employée par Tycoon 2FA est pratiquement identique à celle documentée en avril 2025 par TRU, ainsi qu’à la variante observée après le démantèlement en avril 2026.
Trustifi est une plateforme de sécurité des courriels légitime. Elle propose des outils intégrés à divers services de messagerie, comme ceux de Microsoft et Google. Les chercheurs d’eSentire ignorent cependant comment les attaquants ont obtenu l’usage de Trustifi.
Selon eux, l’attaque utilise un courriel d’hameçonnage sur le thème d’une facture. Celui-ci contient un lien de suivi Trustifi qui redirige via Trustifi, Cloudflare Workers, et plusieurs couches JavaScript obscurcies. La victime atterrit finalement sur une fausse page de CAPTCHA Microsoft.
Cette page de hameçonnage récupère un code d’appareil OAuth Microsoft depuis le serveur du pirate. Elle demande ensuite à la victime de copier-coller ce code sur « microsoft.com/devicelogin ». La victime procède alors à l’authentification multifacteur de son côté.
Après cette étape, Microsoft émet des jetons d’accès et de rafraîchissement OAuth pour l’appareil contrôlé par l’attaquant.
Source : eSentire
Le kit de hameçonnage Tycoon2FA intègre des protections étendues contre les chercheurs et les analyses automatisées. Il détecte Selenium, Puppeteer, Playwright, Burp Suite. Il bloque les fournisseurs de sécurité, les VPN, les sandbox, les robots d’IA et les fournisseurs cloud. Il utilise aussi des pièges temporels basés sur le débogueur.
Les requêtes provenant d’appareils qui semblent se trouver dans un environnement d’analyse sont automatiquement redirigées vers une page Microsoft légitime.
Les chercheurs ont découvert que la liste de blocage du kit contient actuellement 230 noms de fournisseurs. Elle est mise à jour constamment.
eSentire recommande plusieurs mesures. Il faut désactiver le flux de code d’appareil OAuth lorsqu’il n’est pas nécessaire, restreindre les autorisations de consentement OAuth, exiger une approbation de l’administrateur pour les applications tierces. Il est aussi conseillé d’activer l’évaluation continue de l’accès et d’appliquer des politiques d’accès pour les appareils conformes.
Les chercheurs recommandent également de surveiller les journaux Entra pour les authentifications de type deviceCode, l’usage de Microsoft Authentication Broker, et les agents utilisateurs Node.js.
eSentire a publié un ensemble d’indicateurs de compromission pour les dernières attaques Tycoon2FA. Ces informations aident les défenseurs à protéger leurs systèmes.