Le kit de phishing Tycoon 2FA, déjà bien connu, a évolué et utilise désormais des techniques encore plus sophistiquées pour contourner l'authentification à deux facteurs (2FA) utilisée par Google et Microsoft. Les nouvelles techniques d’obfuscation découvertes début avril 2025 rendent la détection des attaques beaucoup plus difficile pour les systèmes de sécurité. Le kit crée des répliques trompeusement réelles de pages de connexion qui interceptent non seulement les informations de connexion d'origine, mais également les jetons 2FA. La combinaison de multiples techniques d’obscurcissement qui, ensemble, forment une barrière efficace contre les mesures de sécurité conventionnelles est particulièrement préoccupante. Une méthode particulièrement sophistiquée du kit est l'obscurcissement du code JavaScript en utilisant des caractères Unicode invisibles. Selon une analyse détaillée de Trustwave , le code malveillant utilise délibérément de tels caractères pour échapper à la détection visuelle et aux mécanismes de sécurité conventionnels. Cela signifie que le code malveillant reste invisible à l’œil humain et n’est pas reconnu comme une menace par de nombreux systèmes de sécurité.

De plus, Tycoon 2FA a abandonné l'utilisation de services CAPTCHA tiers tels que Cloudflare et s'appuie plutôt sur son propre système CAPTCHA, qui est rendu à l'aide de HTML5 Canvas. Cette solution personnalisée rend l’analyse automatisée plus difficile et prolonge considérablement la durée de vie des campagnes de phishing. Le kit met également en œuvre des mesures anti-débogage agressives qui détectent l'automatisation du navigateur, bloquent les outils de développement et redirigent même vers d'autres sites Web si des outils d'analyse sont détectés. Que peut-on faire contre cette attaque et d’autres ? « Les clés d'accès réduisent considérablement l'impact du phishing et d'autres attaques d'ingénierie sociale », a expliqué un porte-parole de Google, selon Forbes . « Les recherches de Google ont montré que les clés de sécurité offrent une meilleure protection contre les robots automatisés, les attaques de phishing de masse et les attaques ciblées que les SMS, les mots de passe à usage unique basés sur des applications et d'autres formes d'authentification à deux facteurs traditionnelles. »

Microsoft recommande également la prudence : « Nous recommandons d'utiliser des clés d'accès dans la mesure du possible et d'utiliser des applications d'authentification comme Microsoft Authenticator, qui avertissent les utilisateurs des tentatives potentielles de phishing », a déclaré un porte-parole de Microsoft. Pour les équipes de sécurité, les experts recommandent une surveillance basée sur le comportement, un sandboxing du navigateur et une inspection plus approfondie des modèles JavaScript pour garder une longueur d'avance sur ces menaces. Trustwave a également publié une règle de détection YARA ciblant spécifiquement les modèles d'obfuscation Unicode des dernières variantes de Tycoon 2FA.