Source : Binary Defense — Analyse sur l’évolution des fraudes à la paie, où les attaquants passent des compromissions classiques des SaaS à l’abus de chemins d’accès internes « de confiance » (ex. VDI) pour réduire la détection et détourner des salaires.
• Les auteurs expliquent que des acteurs malveillants combinent workflows de récupération d’identité, chemins d’accès de confiance et fonctions d’auto‑service paie pour opérer un détournement de paie discret, « une fiche de paie à la fois ». Plutôt que d’attaquer directement les plateformes paie exposées, ils passent par un environnement VDI implicitement approuvé par les applications en aval, ce qui érosionne l’efficacité des politiques d’accès conditionnel et limite la télémétrie anormale observée.
• Le texte contraste cette approche avec les campagnes antérieures de « payroll diversion » et de « payroll pirates » axées sur le phishing ou l’adversary‑in‑the‑middle (AiTM) pour capturer identifiants/MFA, puis accéder en SSO aux SaaS tout en masquant la persistance via règles de messagerie ou tokens OAuth. Le pivot vers le VDI illustre une évolution tactique pour éviter les contrôles renforcés côté SaaS et réduire le signal de détection.
• Le billet souligne qu’en 2025, les systèmes RH/paie sont considérés comme des cibles de premier plan, notamment en raison de la faible télémétrie et des modifications d’auto‑service attractives pour des gains financiers rapides et peu bruyants. Il recommande de considérer les changements de paie comme des événements financiers à haut risque, d’élever les workflows de récupération d’identité au même niveau de risque que l’accès privilégié, et de briser les silos de visibilité entre sécurité, RH et finance.
• Côté détection, il est conseillé d’alerter sur les accès à la paie depuis des VPN/proxy/services d’anonymisation, des IPs à risque élevé (selon les fournisseurs d’identité), ou des IPs jamais vues pour l’utilisateur — surtout lorsqu’ils coïncident avec des authentifications réussies ✅, pas seulement des échecs.
TTPs observés/mentionnés:
- Abus de chemins d’accès de confiance (notamment VDI) pour accéder à la paie
- Exploitation de workflows de récupération d’identité et de fonctions d’auto‑service paie
- Techniques antérieures citées: phishing, AiTM, capture d’identifiants/MFA, SSO, règles de messagerie, tokens OAuth pour dissimulation
IOCs:
- Aucun indicateur technique spécifique (IP, hash, domaine) n’est fourni dans l’extrait
Conclusion: Il s’agit d’une analyse de menace visant à décrire une tactique émergente de détournement de paie via des accès de confiance et à orienter la corrélation des signaux d’identité et d’accès.
🧠 TTPs et IOCs détectés
TTPs
Abus de chemins d’accès de confiance (notamment VDI) pour accéder à la paie; Exploitation de workflows de récupération d’identité et de fonctions d’auto‑service paie; Techniques antérieures: phishing, AiTM, capture d’identifiants/MFA, SSO, règles de messagerie, tokens OAuth pour dissimulation
IOCs
Aucun indicateur technique spécifique (IP, hash, domaine) n’est fourni dans l’extrait
🔗 Source originale : https://binarydefense.com/resources/blog/when-paychecks-become-the-prize-a-deeper-look-at-the-rise-of-direct-deposit-attacks