Malgré une opération internationale des forces de l'ordre ayant perturbé la plateforme de phishing **Tycoon2FA** en mars, l'opération malveillante a été reconstruite sur une nouvelle infrastructure et a rapidement retrouvé ses niveaux d'activité normaux. Plus tôt ce mois-ci, **Abnormal Security** a confirmé que **Tycoon2FA** avait repris ses opérations normales et avait même ajouté de nouvelles couches d'obfuscation pour renforcer sa résilience face aux nouvelles tentatives de perturbation. Fin avril, **Tycoon2FA** a été observé dans une campagne qui a exploité les flux d'autorisation d'appareil OAuth 2.0 pour compromettre les comptes **Microsoft 365**, indiquant que l'opérateur continue de développer le kit. Le phishing par code d'appareil est un type d'attaque dans lequel les acteurs malveillants envoient une demande d'autorisation d'appareil au fournisseur du service cible et transmettent le code généré à la victime, la trompant pour qu'elle le saisisse sur la page de connexion légitime du service. Ce faisant, l'attaquant est autorisé à enregistrer un appareil non autorisé sur le compte **Microsoft 365** de la victime, lui donnant un accès illimité aux données et services de la victime, y compris l'e-mail, le calendrier et le stockage de fichiers cloud. **Push Security** a récemment averti que ce type d'attaque a considérablement augmenté cette année, soutenu par de nombreuses plateformes de phishing-as-a-service (PhaaS) et kits privés. Un rapport plus récent de **Proofpoint** enregistre une augmentation similaire de l'utilisation de cette tactique. ### Tycoon2FA ajoute le phishing par code d'appareil Selon de nouvelles recherches de la société de détection et de réponse gérées **eSentire**, **Tycoon2FA** confirme que le phishing par code d'appareil est devenu très populaire auprès des cybercriminels. « L'attaque commence lorsqu'une victime clique sur une URL de suivi de clic **Trustifi** dans un e-mail leurre et culmine avec la victime accordant sans le savoir des jetons OAuth à un appareil contrôlé par l'attaquant via le flux de connexion d'appareil légitime de **Microsoft** sur microsoft.com/devicelogin », explique **eSentire**. « Connectant ces deux points d'extrémité se trouve une chaîne de livraison intra-navigateur à quatre couches dont le savoir-faire de **Tycoon 2FA** est pratiquement inchangé par rapport à la variante de relais d'informations d'identification TRU documentée en avril 2025 et à la variante post-démantèlement documentée en avril 2026. » **Trustifi** est une plateforme de sécurité de messagerie légitime qui fournit une gamme d'outils intégrés à divers services de messagerie, y compris ceux de **Microsoft** et **Google**. Cependant, **eSentire** ne sait pas comment les attaquants ont fini par utiliser **Trustifi**. Selon les chercheurs, l'attaque utilise un e-mail de phishing sur le thème d'une facture contenant une URL de suivi **Trustifi** qui redirige via **Trustifi**, **Cloudflare Workers** et plusieurs couches de JavaScript obfusquées, menant la victime à une fausse page CAPTCHA **Microsoft**. La page de phishing récupère un code d'appareil OAuth **Microsoft** du backend de l'attaquant et demande à la victime de le copier-coller sur « microsoft.com/devicelogin », après quoi la victime complète l'authentification multifacteur (MFA) de son côté. Après cette étape, **Microsoft** émet des jetons d'accès et de rafraîchissement OAuth à l'appareil contrôlé par l'attaquant.  *Source : eSentire* Le kit de phishing **Tycoon2FA** comprend une protection étendue contre les chercheurs et les analyses automatisées, détectant Selenium, Puppeteer, Playwright, Burp Suite, bloquant les fournisseurs de sécurité, les VPN, les sandboxes, les robots d'exploration IA et les fournisseurs cloud, et utilisant des pièges de synchronisation de débogueur. Les requêtes provenant d'appareils indiquant un environnement d'analyse sont automatiquement redirigées vers une page **Microsoft** légitime, indique **eSentire**. Les chercheurs ont découvert que la liste de blocage du kit contient actuellement 230 noms de fournisseurs et est constamment mise à jour. **eSentire** recommande de désactiver le flux de code d'appareil OAuth lorsqu'il n'est pas nécessaire, de restreindre les autorisations de consentement OAuth, d'exiger l'approbation de l'administrateur pour les applications tierces, d'activer l'évaluation continue de l'accès (CAE) et d'appliquer des politiques d'accès aux appareils conformes. De plus, les chercheurs recommandent de surveiller les journaux Entra pour l'authentification deviceCode, l'utilisation du courtier d'authentification **Microsoft** et les agents utilisateurs Node.js. **eSentire** a publié un ensemble d'[indicateurs de compromission](http://github.com/eSentire/iocs/blob/main/Tycoon2FA/Tycoon2fa-iocs-03-23-2026.txt) (IoCs) pour les dernières attaques **Tycoon2FA** afin d'aider les défenseurs à protéger leurs environnements.