Il y a quelques semaines, une opération policière d’envergure, commanditée par Europol avec l’appui de Microsoft, s’est soldée par la fermeture de Tycoon2FA, une redoutable plateforme de phishing. La plateforme s’est spécialisée dans la location de kits capables de contourner la double authentification sur les comptes Microsoft 365, OneDrive, Outlook, SharePoint et Gmail. En interposant un proxy entre l’utilisateur et le service, l’outil volait les identifiants et cookies de session, permettant aux pirates de prendre le contrôle d’un compte sans devoir intercepter le code d’authentification multifactorielle. L’offensive a mené au démantèlement de l’infrastructure de Tycoon2FA et à la saisie de ses 330 domaines.

Le répit n’aura été que de courte durée. Moins d’un mois après sa fermeture forcée, Tycoon2FA fait son retour sur le devant de la scène. Après avoir constaté une chute brutale de l’activité du kit dans le sillage de l’opération du 4 mars, les chercheurs de CrowdStrike