|
Threat Spotlight
Barracuda analyse un nouveau kit de phishing furtif visant Microsoft 365
Un kit de phishing-as-a-service (PhaaS) émergent, furtif et persistant vole des identifiants et des token d’authentification de comptes Microsoft 365, selon de nouvelles recherches menées par Barracuda. Les analystes de chez Barracuda suivent ce PhaaS, à la fois récent et en rapide évolution, depuis juillet 2025, et l’ont baptisé Whisper 2FA.
Au cours du dernier mois, Barracuda a observé près d’un million d’attaques Whisper 2FA ciblant des comptes dans le cadre de vastes campagnes de phishing, le plaçant à la troisième place des PhaaS les plus courant après Tycoon et EvilProxy.
L’analyse technique de Barracuda montre que Whisper 2FA est à la fois avancé et adaptable. Parmi ses innovations figurent des boucles continues pour prendre les tokens d’authentification, de multiples couches de camouflage et des tactiques sournoises destinées à gêner l’analyse de son code malveillant et des données volées. Whisper 2FA évolue rapidement et représente une menace considérable pour les organisations.
Caractéristiques clés de Whisper 2FA :
• Boucles de vol d’identifiants : Whisper 2FA peut répéter en continu le processus de vol d’identifiants contre un compte jusqu’à ce que les attaquants obtiennent un token MFA (authentification multifacteur) fonctionnel. Pour les défenseurs, cela signifie que même des codes expirés ou erronés ne stoppent pas l’attaque, car le kit de phishing pousse sans cesse la victime à ressaisir ses informations et à recevoir un nouveau code jusqu’à ce qu’un code valide soit capturé. Whisper 2FA est conçu pour s’adapter à la méthode MFA utilisée par le compte de la victime.
.jpg)
• Tactiques complexes pour échapper à la détection et à l’analyse : elles incluent plusieurs couches d’offuscation, comme le brouillage et le chiffrement du code d’attaque, la mise en place de pièges pour les outils d’analyse et le blocage de raccourcis clavier couramment utilisés pour l’inspection. Cela complique le travail des chercheurs et des outils de sécurité, tant pour comprendre ce que fait Whisper 2FA que pour détecter automatiquement activités suspectes et malveillantes.
• Un formulaire de phishing polyvalent : le formulaire de phishing de Whisper 2FA envoie aux attaquants toutes les données saisies par la victime, quel que soit le bouton sur lequel elle clique. Les données dérobées sont rapidement brouillées et chiffrées, rendant difficile pour quiconque surveille le réseau de constater immédiatement que des identifiants ont été volés.
Le kit de phishing Whisper 2FA gagne rapidement en complexité technique et en capacités d’évasion.
Selon l’analyse de Barracuda, les premières variantes comportaient des commentaires laissés par les développeurs, quelques couches d’obfuscation et des techniques d’anti-analyse principalement axées sur la désactivation du clic droit/le menu contextuel utilisé pour l’inspection du code.
.jpg)
Les variantes les plus récentes observées par Barracuda ne contiennent plus de commentaires, l’obfuscation est devenue plus dense et multi-couches, avec de nouvelles protections pour empêcher l’analyse ou la manipulation du système par des tiers. Elles incluent des astuces pour détecter et bloquer les outils de débogage, désactiver des raccourcis utilisés par les développeurs et faire planter des outils d’inspection. Cette variante permet aussi de valider en temps réel les jetons d’authentification via le système de commande et de contrôle des attaquants.
« Les fonctionnalités de Whisper 2FA montrent comment les kits de phishing ont évolué, passant de simples voleurs d’identifiants à de véritables plates-formes d’attaque tout-en-un », explique Saravanan Mohankumar, Threat Manager Analyst chez Barracuda. « En combinant l’interception MFA en temps réel, de multiples couches d’obfuscation et des techniques d’anti-analyse, Whisper 2FA complique la détection de la fraude pour les utilisateurs et les équipes de sécurité. Pour se protéger, les organisations doivent dépasser les défenses statiques et adopter des stratégies en couches : formation des utilisateurs, MFA résistant au phishing, surveillance continue et partage de renseignements sur les menaces. »
L’analyse de Barracuda montre que Whisper 2FA présente des similarités avec Salty 2FA, un nouveau PhaaS axé sur le vol d’identifiants M365 signalé récemment par AnyRun, et des différences marquées avec des rivaux plus anciens et établis comme EvilProxy, notamment un vol d’identifiants simplifié, plus difficile à détecter.
À propos de Barracuda
Barracuda est une entreprise de cybersécurité leader sur son marché, offrant aux entreprises de toutes tailles une protection complète face aux menaces complexes. Notre plateforme BarracudaONE, propulsée par l'IA, sécurise les emails, les données, les applications et les réseaux grâce à des solutions innovantes, un XDR managé et un tableau de bord centralisé afin de maximiser la protection et renforcer la résilience cyber. Des centaines de milliers d’organisations et de fournisseurs de services managés (MSP) du monde entier nous font confiance pour les protéger et les accompagner, avec des solutions faciles à acquérir, déployer et utiliser. Pour plus d'informations, visitez barracuda.com.
Contacts Presse :
Agence TEAM LEWIS
Romain Michaud / Maxence Godefroy
[email protected]
Tel : 06 17 98 29 88 / 06 18 53 06 12
|