Un kit de phishing vendu clés en main reproduit une fausse fenêtre de connexion Microsoft 365 quasi-indétectable et permet de pirater les comptes malgré l'authentification à deux facteurs. Prudence.
Une nouvelle campagne de phishing découverte par Push Security met la pression sur les comptes Microsoft 365. En s’appuyant sur Sneaky2FA, un kit prêt à l’emploi désormais omniprésent dans l’écosystème criminel, les attaquants reproduisent une fenêtre de connexion Microsoft avec un réalisme déconcertant et interceptent identifiants, codes 2FA et jetons de session sans déclencher d’alerte. Une technique empruntée aux équipes de cybersécurité offensives et désormais exploitée par des groupes qui n’ont même plus besoin d’être experts pour contourner l’authentification multifactorielle.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Du lien de partage au détournement complet de la connexion Microsoft 365
Comme souvent dans ce type d’attaque, tout est une histoire de lien frauduleux maquillé en partage de fichier, et relevé d’un faux contrôle de sécurité. Dans ce cas précis, la victime est incitée à ouvrir un document PDF, vraisemblablement reçu par mail, puis redirigée vers un écran de vérification Cloudflare, censé confirmer qu’elle n’est pas un robot. En réalité, ce test sert surtout à filtrer les visites. Tant qu’il n’a pas été validé manuellement dans un navigateur réel, la plupart des outils d’analyse de liens s’arrêtent à cette étape et n’accèdent jamais au contenu malveillant chargé ensuite.
Une fois le CAPTCHA validé, la page, hébergée sur une adresse contrôlée par l’attaquant, affiche ce qui ressemble à un aperçu de document en ligne, avec un bouton invitant à se connecter avec un compte Microsoft pour consulter le fichier. En cliquant sur ce bouton, l’interface fait apparaître une fenêtre de connexion Microsoft 365 qui se superpose à la page en cours. L’en-tête reprend les codes d’une fenêtre de navigateur, la barre d’adresse affiche une URL Microsoft parfaitement crédible, le logo est bien placé, le fond rappelle les bibliothèques de documents et l’ensemble épouse les codes visuels du système détecté, en reprenant ceux d’Edge sous Windows ou de Safari sous macOS. Pour un œil habitué aux pop-ups d’authentification, rien ne cloche, quand bien même la véritable barre d’adresse du navigateur continue d’indiquer le domaine contrôlé par l’attaquant.
Or c’est précisément là que se glisse la subtilité, puisque cette fenêtre n’a en réalité rien d’une vraie pop-up. Il s’agit d’un simple affichage intégré à la page en cours, façonné pour imiter une interface d’authentification Microsoft et embarquant le vrai formulaire de connexion au compte. C’est ce qu’on appelle le Browser-in-the-Browser (BiB), une technique qui consiste à recréer, à l’intérieur d’un onglet, une fausse fenêtre de navigateur avec sa propre barre d’adresse et ses repères graphiques, de manière à présenter une page de phishing comme une fenêtre de connexion OAuth parfaitement légitime.
La suite, vous la devinez. L’internaute piégé saisit ses identifiants, valide son authentification à deux facteurs, et accède à son compte Microsoft. En arrière-plan, le trafic transite par l’infrastructure de Sneaky2FA avant d’atteindre les serveurs de Microsoft, et les opérateurs récupèrent au passage le couple login et mot de passe, mais aussi le jeton de session actif, qui leur permet ensuite d’ouvrir le compte Microsoft 365 sans repasser par une nouvelle demande de validation.
Ce qui peut encore vous sauver face à Sneaky2FA
Si la supercherie est si difficile à détecter, c’est aussi parce que Sneaky2FA empile les mécanismes d’évasion. Le code HTML et JavaScript est fortement obfusqué, les textes d’interface sont découpés en fragments, les éléments graphiques sont encodés, et certains visiteurs sont redirigés vers une page Wikibooks lorsque le site détecte une adresse ou un contexte jugé suspect au moment de valider le CAPTCHA. Les campagnes s’appuient en outre sur des domaines compromis à la durée de vie très courte, associés à des chemins d’URL extrêmement longs, qui n’hébergent rien de suspect avant d’être activés puis rapidement abandonnés.
Vous pouvez toutefois vous en sortir en restant attentifs à quelques indices disséminés çà et là. Le premier tient au comportement de la fenêtre de connexion. Une vraie pop-up s’ouvre dans une instance distincte du navigateur et apparaît comme une fenêtre à part entière, avec une icône supplémentaire dans la barre des tâches.
Autre réflexe utile, garder un œil sur l’adresse affichée dans la barre du navigateur où vous avez cliqué sur le bouton. C’est ce domaine qui pilote réellement l’échange, y compris lorsque le formulaire Microsoft est embarqué dans une fenêtre proxifiée.
N’oubliez pas non plus vos habitudes cyber les plus élémentaires. Évitez, autant que possible, de suivre les liens dans les mails pour ouvrir un document et passez plutôt par le portail Microsoft 365, OneDrive ou SharePoint depuis un favori pour retrouver le fichier depuis l’interface. Jetez un coup d’œil régulier à l’adresse affichée dans la barre du navigateur avant de saisir vos identifiants, en particulier lorsque l’authentification se fait via une fenêtre intégrée. Privilégiez, dès que c’est possible, des méthodes d’authentification plus solides que le simple code à usage unique, comme les clés de sécurité matérielles ou les options sans mot de passe de l’écosystème Microsoft. Enfin, côté entreprises, configurez des règles d’accès conditionnel et sensibilisez régulièrement vos équipes aux scénarios de phishing.
Source : Push Security
