Barracuda révèle Whisper 2FA, un kit de phishing-as-a-service furtif visant Microsoft 365. Il vole identifiants et tokens MFA en boucle et progresse vite, malgré les défenses classiques.
Whisper 2FA, un PhaaS en émergence suivi par Barracuda depuis juillet 2025, alimente de vastes campagnes visant Microsoft 365. Selon l’éditeur, près d’un million d’attaques ont été observées en un mois, faisant de Whisper 2FA le troisième kit le plus courant après Tycoon et EvilProxy. Sa force tient à un cycle d’exfiltration répété jusqu’à la capture d’un token MFA valide, à des couches d’offuscation denses et à des techniques anti-analyse agressives. Le formulaire de phishing exfiltre toutes les données quel que soit le clic, et chiffre rapidement les informations pour masquer les fuites. Barracuda note des similarités avec Salty 2FA, récemment décrit par AnyRun, et une évolution rapide des variantes de Whisper 2FA, désormais capables de valider en temps réel les jetons via le C2 des attaquants.
Un kit furtif et persistant, pensé pour l’authentification
Whisper 2FA n’est pas un simple collecteur d’identifiants. L’analyse de Barracuda insiste sur une mécanique au cœur du kit : un « loop » de vol d’identifiants et de codes qui maintient la victime dans un flux d’authentification artificiellement fluide. Concrètement, la page piégée simule l’ergonomie d’un portail Microsoft 365 et interroge le serveur de l’attaquant à chaque saisie. Tant qu’aucun jeton MFA exploitable n’est capturé, le kit relance la personne, affiche un nouvel écran, demande une nouvelle validation, et prolonge l’illusion d’un échec passager. Cette persistance, alimentée par des requêtes web asynchrones, permet d’essayer autant de fois que nécessaire jusqu’à l’obtention d’un code valide.
L’effet opérationnel est clair. Les défenses qui comptent sur l’expiration rapide des OTP ou sur l’effet dissuasif d’un refus initial sont affaiblies. Même des tentatives ratées deviennent utiles : elles entretiennent l’interaction et offrent de nouveaux créneaux pour intercepter un token fonctionnel. Le kit s’adapte à la méthode MFA de la cible, qu’il s’agisse d’un code d’application, d’un SMS, d’un appel vocal ou d’une notification push. Cette adaptabilité accroît le taux de réussite contre des environnements hétérogènes, où les politiques d’authentification varient d’un service à l’autre.
Le formulaire de phishing, au centre de la scène, ne se contente pas de voler l’email et le mot de passe. Il envoie systématiquement aux opérateurs toutes les données saisies, quel que soit le bouton activé par l’utilisateur : « Suivant », « Se connecter », « Envoyer » ou même la touche Entrée. Cette approche limite les erreurs d’exfiltration côté attaquant et réduit les indices visibles côté défense. Les informations sont rapidement brouillées puis chiffrées avant exfiltration, rendant plus difficile, pour un observateur réseau, la détection immédiate d’une fuite d’identifiants.
Obfuscation, anti-analyse, anti-inspection
Barracuda décrit une évolution nette : les premières variantes contenaient des commentaires de développeur et une obfuscation relativement simple. Les éditions récentes, dénuées de commentaires, superposent plusieurs couches d’offuscation et ajoutent des pièges à l’attention des analystes. Les raccourcis de développement habituels sont désactivés pour gêner l’inspection du DOM et des scripts ; l’ouverture des outils de debug peut provoquer un gel de l’onglet ou l’effacement de la page. Ces tactiques visent autant les chercheurs que les produits de sécurité automatisés qui tentent de parcourir, d’instrumenter ou de « rejouer » la page.
Dans ce jeu de chat et de souris, Whisper 2FA utilise un brouillage de code intensif, mêlant encodage et logique XOR pour masquer chaînes, événements et fonctions clés. L’objectif n’est pas tant de rendre le code impossible à auditer que de renchérir le coût d’analyse et d’entraver les signatures statiques. Les contrôles de session se raffinent : la page lie discrètement chaque champ d’entrée à des fonctions d’exfiltration, et jongle entre états pour mimer un parcours d’authentification crédible alors que les données partent vers le C2.
Le résultat pour les défenseurs : moins d’artefacts évidents au niveau HTML/JS, davantage de comportements conditionnels enclenchés par l’environnement d’analyse, et un pipeline d’exfiltration qui favorise des flux AJAX discrets plutôt que des interceptions par proxy inverse plus facilement repérables. L’anti-debug s’exprime aussi par des tests d’outils, de touches, de délais, qui déclenchent blocage, crash contrôlé ou page blanche. Déployer une télémétrie de navigation et des politiques d’exécution renforcées côté navigateur devient alors un axe de détection complémentaire, mais la faisabilité reste limitée dans les environnements d’entreprise standard.
Validation de jetons en temps réel, boucle jusqu’au succès
Nouvelle marche franchie : la validation immédiate des tokens via le C2. Les variantes récentes, selon Barracuda, ne stockent pas passivement les codes capturés. Elles vérifient en direct, au fil de l’eau, la validité d’un OTP ou d’un jeton, puis réitèrent si nécessaire. Si l’essai échoue, la page scénarise un message neutre et invite à ressaisir ou à choisir un autre mode MFA. L’utilisateur reste convaincu que la procédure suit son cours. L’attaquant, lui, tente un accès réel, profite d’un code frais, et verrouille une session avant expiration.
Ce raffinement opérationnel explique la croissance rapide de Whisper 2FA dans l’écosystème PhaaS. La chaîne d’attaque se réduit : moins de passerelles, moins de proxys, moins d’artefacts techniques bruyants. L’attaquant capitalise sur l’expérience utilisateur de la victime et sur les habitudes d’authentification de Microsoft 365. Les agents SOC qui cherchent des empreintes classiques de kits adversary-in-the-middle se retrouvent face à des signaux faibles, distribués et transients : des requêtes asynchrones, des flux chiffrés courts, des réponses UI simulées.
Comparaisons : Salty 2FA, Tycoon, EvilProxy
Barracuda relève des similarités avec Salty 2FA, détaillé récemment par AnyRun : même focalisation sur Microsoft 365, même recherche d’évasion par obfuscation, anti-debug, anti-analyse, et même logique d’industrialisation du phishing. L’élément différenciant avancé tient à l’exfiltration simplifiée et à la validation en direct, là où d’autres PhaaS historiques s’appuient davantage sur des proxys complexes ou sur une étape d’exploitation plus visible.
Whisper 2FA se hisse, en volume observé le mois dernier, à la troisième place derrière Tycoon et EvilProxy. Ce classement illustre une dynamique concurrentielle : les kits affûtent sans cesse leurs techniques d’évasion et leurs leurres, ajustent marques, prétextes et parcours pour conserver un taux de conversion élevé. L’émergence de nouvelles variantes, dépourvues de commentaires et mieux protégées, montre un cycle de développement actif, sans doute alimenté par des retours des affiliés et par une veille attentive des contres-mesures déployées par les entreprises.
« Des plates-formes d’attaque tout-en-un », résume Saravanan Mohankumar, analyste chez Barracuda. La formule souligne un glissement : du kit « page de phishing » vers un framework orchestrant collecte d’identifiants, interception MFA, gestion de session, et brouillage défensif. Pour l’utilisateur ciblé, le parcours ressemble au service attendu. Pour le défenseur, la fraude se dilue dans une ergonomie familière.
Enjeux pour la défense : au-delà des barrières statiques
La recommandation est claire. Miser sur des filtres statiques et des messages d’alerte génériques ne suffit plus. Barracuda insiste sur une approche en couches : formation adaptée aux scénarios d’interception MFA, adoption de méthodes d’authentification résistantes au phishing, surveillance continue et partage de renseignement entre pairs. L’éducation doit expliquer que les échecs répétés ne valident rien : ils peuvent signaler, au contraire, un kit qui « insiste » jusqu’à tomber sur un token valide.
Sur le volet authentification, l’enjeu est de réduire la surface d’exploitation : privilégier des mécanismes résistants à l’interception en temps réel, durcir les politiques d’approbation push et désactiver les chemins les plus vulnérables lorsque c’est possible. Côté détection, capitaliser sur les métadonnées HTTP et sur des signaux UI atypiques peut aider, mais le coût de faux positifs reste un risque. Les SOC doivent donc articuler indicateurs techniques et signaux humains : comportements de connexion anormaux, fluctuations d’appareils connus, horodatages incohérents avec l’usage attendu.
Whisper 2FA complique la rétro-ingénierie par son obfuscation multicouche et ses pièges anti-inspection. Pourtant, l’effort d’analyse reste indispensable pour produire des IoC utiles et des règles de détection comportementale. L’identification de motifs d’UI, de séquences AJAX, ou de signatures de validation C2 peut alimenter des contrôles en passerelle, même si leur durée de vie est limitée. Le partage de ces éléments, rapide et structuré, est un multiplicateur d’efficacité pour les équipes sous-dimensionnées.
Le facteur temps reste critique. Entre la première saisie d’identifiants et la validation d’un token, la fenêtre d’intervention peut se compter en secondes. La réponse doit être pensée pour cette temporalité : limitation des tentatives, friction supplémentaire quand un flux d’authentification sort des habitudes d’un utilisateur, et procédures de révocation éclair pour les sessions suspectes. Les politiques de segmentation des accès et de moindre privilège amortissent l’impact si un compte tombe malgré tout.
Gouvernance et hygiène
Au-delà des aspects techniques, Whisper 2FA interroge la gouvernance MFA des entreprises. Ajouter des facteurs n’a de sens que si leur parcours et leur implémentation résistent à l’usurpation en direct. La revue régulière des méthodes activées, la désactivation des options les plus exposées, l’audit des applications de confiance et des délégations d’accès doivent s’imposer. En parallèle, la sensibilisation doit banaliser des réflexes : vérifier l’URL d’authentification, douter des relances successives, et signaler les comportements étranges d’un portail familier.
Ce kit montre aussi la maturité de l’offre cybercriminelle. L’approche en service, la capacité d’itération rapide, l’attention portée à l’UX de la victime et à l’anti-analyse traduisent une chaîne logicielle efficace côté attaquants. Les organisations doivent considérer cette industrialisation dans leurs plans : traiter le phishing non comme une pluie de liens isolés, mais comme un produit en constante mise à jour, avec support, roadmap et communauté d’utilisateurs malveillants.
