Source: malwr-analysis.com (24–25 août 2025). Contexte: un chercheur décrit une évolution d’une chaîne de phishing Gmail où les attaquants ciblent à la fois les utilisateurs et les défenses automatisées, en insérant un texte d’« injection de prompt » dans la section MIME en clair pour distraire/perturber l’analyse par IA.
Leurres et chaîne de livraison 🚨: l’email de phishing imite un avis d’expiration de mot de passe (sujet: « Login Expiry Notice 8/20/2025 4:56:21 p.m. »), envoyé via SendGrid avec SPF/DKIM OK mais DMARC en échec, ce qui a permis de franchir certains filtres. La campagne abuse Microsoft Dynamics pour une redirection de mise en scène, puis bascule vers un domaine attaquant avec captcha (empêchant crawlers/sandboxes) avant la page principale de phishing brandée Gmail. Le kit effectue une requête GeoIP pour profiler l’utilisateur et un beacon télémétrique pour distinguer humains et bots.
Charge utile et techniques 🤖: le site livre un JavaScript obfusqué multi-couches, avec un chargeur AES-CBC déchiffré via CryptoJS et enveloppé dans eval(atob(...)). Le « stage 2 » reproduit le flux de connexion Gmail, valide mot de passe et 2FA, et affiche de fausses erreurs pour prolonger l’interaction. L’ensemble rend la détection statique plus difficile que les pages HTML simples observées dans la vague précédente.
Menace IA et objectifs 🎯: une injection de prompt cachée dans la partie texte vise à outrepasser le prompt système des modèles en forçant des boucles de raisonnement longues et hors sujet. Dans des SOC où l’IA pilote triage/étiquetage/automatisation, cela peut introduire des retards, des faux négatifs ou du bruit dans les tableaux de bord. La campagne opère donc sur deux axes: ingénierie sociale côté utilisateur et manipulation de l’IA côté défense.
IOC et TTPs 🧩
- IOCs:
- Email: From « Alert president@nlg.org », via/signed-by: sendgrid.net; sujet « Login Expiry Notice 8/20/2025 4:56:21 p.m. »
- Domaines: assets-eur.mkt.dynamics.com (redirection), bwdpp.horkyrown.com (front + captcha), 6fwwke.glatrcisfx.ru (télémétrie/beacon), get.geojs.io (profilage)
- Requêtes: GET /tamatar@1068ey (glatrcisfx.ru), GET /v1/ip/geo.json (get.geojs.io)
- TTPs:
- Ingénierie sociale: avis d’expiration de mot de passe, usurpation Gmail, urgence
- Prompt injection dans MIME text/plain pour perturber l’IA défensive
- Abus d’infrastructures légitimes: SendGrid (SPF/DKIM pass, DMARC fail), Microsoft Dynamics comme redirect de confiance
- Evasion: captcha gating, profilage GeoIP, beaconing télémétrique
- Obfuscation: JS chiffré AES-CBC,
eval(atob(...)), kit multi-étapes; simulation 2FA et erreurs factices
Attribution (prudente) 🧭: des indices faibles suggèrent un lien Asie du Sud (contacts WHOIS au Pakistan, termes hindi/ourdou « tamatar », « chut » dans des chemins d’URL), mais l’auteur souligne que cela peut être un leurre et reste non conclusif. Il s’agit d’une analyse de menace documentant une évolution des kits de phishing vers des tactiques « AI-aware ».
🧠 TTPs et IOCs détectés
TTP
[‘Ingénierie sociale: avis d’expiration de mot de passe, usurpation Gmail, urgence’, ‘Prompt injection dans MIME text/plain pour perturber l’IA défensive’, ‘Abus d’infrastructures légitimes: SendGrid (SPF/DKIM pass, DMARC fail), Microsoft Dynamics comme redirect de confiance’, ‘Evasion: captcha gating, profilage GeoIP, beaconing télémétrique’, ‘Obfuscation: JS chiffré AES-CBC, eval(atob(…)), kit multi-étapes; simulation 2FA et erreurs factices’]
IOC
{’email’: ‘From « Alert president@nlg.org », via/signed-by: sendgrid.net; sujet « Login Expiry Notice 8/20/2025 4:56:21 p.m. »’, ‘domain’: [‘assets-eur.mkt.dynamics.com’, ‘bwdpp.horkyrown.com’, ‘6fwwke.glatrcisfx.ru’, ‘get.geojs.io’], ‘requests’: [‘GET /tamatar@1068ey (glatrcisfx.ru)’, ‘GET /v1/ip/geo.json (get.geojs.io)’]}
🔗 Source originale : https://malwr-analysis.com/2025/08/24/phishing-emails-are-now-aimed-at-users-and-ai-defenses/