Accueil > Nouvelles Cyber > Tykit – Un nouveau kit de phishing SVG vole des données Microsoft 365 logins
CYBER NOUVELLES

Tykit – Un nouveau kit de phishing SVG vole des données Microsoft 365 logins

par   |  Dernière mise à jour:  |  0 Commentaires  

Enquête de Sensorstechforum.com — Un service d'hameçonnage récemment apparu (PhaaS) kit surnommé Tykit utilise les pièces jointes SVG comme armes depuis mai. 2025 voler des entreprises Microsoft 365 lettres de créance. Le kit combine une redirection multi-étapes, JavaScript fortement obscurci, et des contrôles anti-robots pour éviter l'analyse automatisée, canaliser les victimes vers des portails de connexion Microsoft falsifiés de manière convaincante.

logiciel malveillant de phishing tykit

Pourquoi les fichiers SVG ?? Le vecteur « image » mal compris

  • Le format SVG est basé sur XML et peut légalement inclure des scripts et des gestionnaires d'événements.. Les attaquants intègrent du code JavaScript qui s'exécute à l'ouverture/la consultation., transformer une image apparemment inoffensive en une page de redirection ou en une page d'hameçonnage complète.
  • De nombreuses passerelles de messagerie sécurisées et filtres de pièces jointes traitent encore les SVG comme des images statiques., effectuer des vérifications MIME superficielles au lieu d'une inspection approfondie du contenu, ce qui permet à des échantillons malveillants de passer entre les mailles du filet..
  • Suivi de l'industrie 2025 a mis en évidence une forte augmentation des leurres basés sur SVG dans les boîtes aux lettres d'entreprise, provoquant des changements de plateforme et de nouvelles détections.

Anatomie d'une attaque Tykit

  • Étape 1 — Livraison via SVG: L'appât par courriel (facture d'achat, fiche de paie, actif du projet) contient une pièce jointe ou un lien SVG. À l'intérieur, L'attaquant dissimule une charge utile JavaScript qui se reconstruit automatiquement lors de l'exécution. (par exemple, Techniques XOR/de séparation de chaînes) et déclenche une redirection silencieuse lorsqu'elle est ouverte.
  • Étape 2 — Redirection « Trampoline »: Les victimes sont redirigées vers une page intermédiaire ("trampoline") qui effectue des vérifications légères et affiche parfois une invite factice (par exemple, « Entrez dans le dernier 4 chiffres de votre téléphone). L'URL paramétrée inclut souvent une adresse e-mail encodée en base64 pour personnaliser le flux..
  • Étape 3 — Anti-bot Gate: La chaîne présente généralement un widget anti-automatisation (par exemple, Tourniquet Cloudflare) pour déconcerter les scanners et créer une légitimité avant le transfert final.
  • Étape 4 — Faux Microsoft 365 S'identifier: Une page réplique soignée valide les formats d'e-mail et invite les utilisateurs à saisir à nouveau leurs identifiants si ceux-ci sont « incorrects ».
  • Étape 5 — Exfiltration en temps réel: Les identifiants sont publiés sur les API de l'attaquant. (par exemple, /api/validate, /api/login), avec des réponses guidant le parcours de l'utilisateur (Succès, erreur, ou réessayer). Les chevauchements d'infrastructures observés entre les campagnes indiquent la réutilisation d'un kit partagé.

Ce qui est en jeu

  • Vol d'identifiants → compromission en aval: Email, onedrive, SharePoint, Équipes, et d'autres charges de travail M365 deviennent accessibles aux intrus.
  • Le compromis électronique d'affaires (BEC): Les comptes volés alimentent le spear-phishing interne, fraude à la facture, et usurpation d'identité de dirigeant.
  • Mouvement latéral: Les attaquants exploitent des identifiants valides pour pivoter., escalader les privilèges, et mettre en scène des attaques de rançongiciels ou des vols de données.

Indicateurs connus & Motifs (Désarmé)

  • Modèle de domaine: segy* — chaînes de caractères récurrentes dans les domaines C2/exfil de Tykit (par exemple, segy[.]example), utile pour pivoter et rechercher des références rétrospectives.
  • artefacts de fichiers: SVG avec éléments intégrés, JavaScript obfusqué; reconstruction fréquente en cours d'exécution (par exemple, XOR); utilisation de eval après décodage.
  • Comportement du réseau: Redirections multi-sauts; requêtes POST à /api/validate et /api/login points d'extrémité; des points de terminaison de journalisation secondaires occasionnels comme /x.php.
  • L'UX dit: Des illustrations SVG bleu clair de style « modal » avec des bordures en pointillés ont été observées dans certaines vagues comme un élément de distraction visuelle pendant l'exécution en arrière-plan..

Manuel de détection (SOC/IR)

  • Filtrage des courriels et des pièces jointes: Considérez les SVG comme du contenu actif. Activer l'inspection approfondie du contenu et la détonation du bac à sable pour les SVG; Bloquer ou mettre en quarantaine lorsque la justification commerciale est faible.
  • Télémétrie comportementale: Alerte concernant les redirections côté client provenant de rendus SVG; Reconstruction/évaluation JavaScript dans les contextes SVG; Blocage des outils de développement et suppression du clic droit sur les pages consultées après l'installation du SVG.
  • Surveillance du réseau: Signaler les domaines inconnus correspondant segy* et des groupes de kits similaires. Examiner les séquences 302 aboutissant à des hôtes similaires à M365.
  • Renseignements sur les menaces: Enrichir continuellement avec des IOC frais, et pivoter à partir d'un seul artefact (modèle de domaine, hacher, piste d'atterrissage) aux infrastructures connexes.

Prévention & durcissement (Responsables de la sécurité)

  • Mettre en œuvre une authentification multifacteur (MFA) forte et le principe de confiance zéro.: Accès conditionnel, évaluation des risques liés à la connexion, et les méthodes résistantes au phishing limitent l'utilité des identifiants même s'ils sont collectés.
  • Le moins privilégié & segmentation: Réduire le rayon d'explosion en cas de compromission d'identité.
  • Politique de pièces jointes: Nettoyer ou bloquer les formats à risque (y compris SVG) pour les groupes qui n'en ont pas besoin; Je préfère les visionneuses sécurisées qui suppriment le contenu actif.
  • Contrôles de l'expérience utilisateur: Envisagez des politiques de messagerie client/serveur qui désactivent l'affichage SVG intégré.; sensibiliser les utilisateurs au fait que les fichiers « image » peuvent exécuter une logique.
  • état de préparation: Verrouillage/réinitialisation du compte d'entraînement, Avis sur l'application OAuth, purge des règles de boîte aux lettres, et la révocation des jetons en cas de suspicion d'incidents d'hameçonnage.

Liste de contrôle de triage rapide

  • Rechercher des boîtes aux lettres, passerelles, et EDR pour les pièces jointes SVG distribuées pendant la fenêtre d'alerte.
  • Recherchez les chaînes de redirection où le premier référent est local file:// ou vue SVG d'origine de courriel.
  • Interroger le proxy/DNS pour segy* recherches, et pour les POSTs /api/validate / /api/login sur des domaines non-Microsoft.
  • Examinez les pages suspectes à la recherche de widgets anti-bots et de mécanismes de suppression des outils de développement.; Capture du DOM pour récupérer les scripts obfusqués.
  • Réinitialiser les comptes concernés, révoquer les sessions/jetons, vérifier les règles de boîte aux lettres et les autorisations OAuth, et activer/renforcer l'authentification multifacteur.

Les références & Pour en savoir plus

Échantillons Tykit et CIO: Commencez les pivots avec le motif domainName:"segy*" dans votre plateforme de renseignement sur les menaces. Désamorcez les domaines lors du partage, et enrichir avec du DNS passif, Certificats TLS, et les chevauchements WHOIS.

Vous avez de nouveaux échantillons Tykit ou des IOC fraîchement sortis ?? Envoyez-nous vos coordonnées sur Sensorstechforum.com.

Ventsislav Krastev

Ventsislav est expert en cybersécurité chez SensorsTechForum depuis 2015. Il a fait des recherches, couvrant, aider les victimes avec les dernières infections de logiciels malveillants ainsi que tester et examiner les logiciels et les derniers développements technologiques. Ayant obtenu leur diplôme et marketing, Ventsislav est également passionné par l'apprentissage de nouveaux changements et innovations en cybersécurité qui changent la donne. Après avoir étudié la gestion de la chaîne de valeur, Administration réseau et administration informatique des applications système, il a trouvé sa véritable vocation au sein de l'industrie de la cybersécurité et croit fermement à l'éducation de chaque utilisateur en matière de sécurité et de sûreté en ligne..

Plus de messages - Site Internet

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Worm W32.Rarogminer Monero Miner (lsass.exe) - Comment faire pour supprimer ce Cet article a été créé dans le but de vous aider...
  2. .Fichier virus bot (Dharma Ransomware) – Comment faire pour supprimer ce Qu'est-ce que le virus de fichier .BOT? Le virus est également connu...
  3. Comment faire pour supprimer les escroqueries de phishing 2021 Cet article a été créé dans le but de vous aider...
  4. Supprimer office 365 Phishing Scam - Comment vous protéger Cet article a été créé afin d'expliquer à...
  5. On Stage Adware Manuel d'enlèvement Cet article vous aidera à supprimer efficacement sur scène. Suivre...
  6. Magnitude Exploit Kit Utilisé pour Cerber Ransomware attaques de pirates Cyber security researchers identified that the Magnitude exploit kit is...
  7. DLLRepair Kit – Qu'est-ce et comment le supprimer complètement de votre PC Cet article a été créé afin d'expliquer ce que...
  8. CVE-2015-2419 Leveraged dans Dernières Sundown Exploit Attaques Kit Le kit d'exploitation Sundown a été détecté dans des campagnes de publicité malveillantes actives la dernière fois..

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord