Campagne de smishing aux USA : fausses amendes de circulation via QR codes menant à des sites de phishing

📰 Source : BleepingComputer — Date de publication : 5 avril 2026

Une nouvelle campagne de smishing (phishing par SMS) cible des résidents de plusieurs États américains en usurpant l’identité de tribunaux d’État. Les messages frauduleux se présentent comme des « Notice of Default » concernant des infractions routières non réglées, et incluent une image d’un faux avis de tribunal contenant un QR code embarqué.

🎯 États ciblés identifiés :

• New York, Californie, Caroline du Nord, Illinois, Virginie, Texas, Connecticut, New Jersey

🔗 Chaîne d’infection :

1. Envoi d’un SMS avec une image contenant un QR code
2. Scan du QR code → redirection vers un site intermédiaire avec CAPTCHA (pour contourner les outils d’analyse automatisés)
3. Résolution du CAPTCHA → redirection vers un site de phishing imitant le DMV de l’État ou une agence gouvernementale
4. Affichage d’une amende fictive de 6,99 $
5. Collecte des données : nom, adresse, téléphone, email, informations de carte bancaire

🕵️ Techniques d’évasion : L’utilisation conjointe de QR codes et de CAPTCHA vise à compliquer l’analyse par les solutions de sécurité automatisées et les chercheurs.

🌐 Exemples de domaines malveillants identifiés pour l’usurpation du DMV de New York : ny.gov-skd[.]org et ny.ofkhv[.]life.

Cette campagne est présentée comme une évolution des arnaques aux péages et amendes de stationnement observées en 2025, qui utilisaient des liens directs dans les SMS plutôt que des QR codes.

📋 Type d’article : Article de presse spécialisée décrivant une nouvelle tendance de campagne de phishing ciblant le grand public américain, avec description technique de la chaîne d’attaque et exemples d’IoCs.

🧠 TTPs et IOCs détectés

TTP

• T1566.004 — Phishing: Spearphishing via Service (Initial Access)
• T1598.004 — Phishing for Information: Spearphishing via Service (Reconnaissance)
• T1056.003 — Input Capture: Web Portal Capture (Collection)
• T1036 — Masquerading (Defense Evasion)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)

IOC

• Domaines : ny.gov-skd.org — VT · URLhaus · ThreatFox
• Domaines : ny.ofkhv.life — VT · URLhaus · ThreatFox

🟢 Indice de vérification factuelle : 68/100 (haute)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 3349 chars — texte complet (15pts)
• ✅ 2 IOC(s) (6pts)
• ✅ 2/2 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (12pts)
• ✅ 5 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• ny.gov-skd.org (domain) → VT (11/94 détections)
• ny.ofkhv.life (domain) → VT (9/94 détections)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/