Selon Cofense, des chercheurs observent une tendance où des acteurs de menace combinent phishing d’identifiants et livraison de malwares au sein des mêmes campagnes, remettant en cause l’idée que ces méthodes seraient exclusives. L’objectif est de garantir la compromission (vol d’identifiants ou accès initial via malware) même si la cible est mieux protégée contre l’un des deux vecteurs.

🧪 D’un point de vue technique, quatre modes de livraison sont documentés :

  • Livraison séquentielle : la victime télécharge d’abord ConnectWise RAT, puis est redirigée vers des pages de phishing d’identifiants.
  • Ciblage basé sur l’agent utilisateur (navigateur/appareil) : livraison de SimpleHelp RAT, de malware Android, ou de phishing iOS selon la détection du navigateur/appareil.
  • Pages de phishing déclenchant des scripts VBS : ces pages déposent des scripts VBS qui installent ensuite des voleurs d’informations personnalisés.
  • Malware lançant du phishing HTML : des stealer comme Muck Stealer exécutent ensuite des pages HTML de récolte d’identifiants.

🔗 Infrastructures et leurres communs :

  • Utilisation de files.fm comme plateforme d’hébergement.
  • ConnectWise RAT est fréquemment le payload principal.
  • Campagnes usurpant des agences gouvernementales et des services légitimes pour la crédibilité.

🧩 IOCs et TTPs extraits :

  • IOCs (indicateurs cités) :

    • Domaine/plateforme d’hébergement : files.fm
    • Familles/charges malveillantes mentionnées : ConnectWise RAT, SimpleHelp RAT, Muck Stealer

  • TTPs :

    • Combinaison phishing + malware dans une seule campagne
    • Livraison séquentielle (malware puis phishing, ou l’inverse)
    • Détection de l’agent utilisateur pour adapter le payload (Windows/Android/iOS)
    • Scripts VBS depuis des pages de phishing menant à des voleurs d’informations
    • Pages HTML de récolte d’identifiants lancées par un stealer
    • Usurpation de marque/organismes publics et ingénierie sociale

Type d’article : analyse de menace visant à documenter des campagnes hybrides, leurs vecteurs et leur infrastructure.

🧠 TTPs et IOCs détectés

TTPs

[‘Combinaison phishing + malware dans une seule campagne’, ‘Livraison séquentielle (malware puis phishing, ou l’inverse)’, ‘Détection de l’agent utilisateur pour adapter le payload (Windows/Android/iOS)’, ‘Scripts VBS depuis des pages de phishing menant à des voleurs d’informations’, ‘Pages HTML de récolte d’identifiants lancées par un stealer’, ‘Usurpation de marque/organismes publics et ingénierie sociale’]

IOCs

[‘Domaine/plateforme d’hébergement : files.fm’, ‘Familles/charges malveillantes mentionnées : ConnectWise RAT, SimpleHelp RAT, Muck Stealer’]

🔗 Source originale : https://cofense.com/blog/dual-threat-threat-actors-combine-credential-phishing-and-malware

🖴 Archive : https://web.archive.org/web/20250910175717/https://cofense.com/blog/dual-threat-threat-actors-combine-credential-phishing-and-malware