🗓️ Contexte

Rapport publié par Kaspersky (Olga Altukhova) le 20 avril 2026 sur Securelist, couvrant l’année 2025. Les données proviennent du Kaspersky Security Network (KSN), de sources publiques et du dark web. Le rapport analyse le phishing financier, les malwares bancaires PC et mobiles, les infostealers et l’économie souterraine associée.

🎣 Phishing financier

Le phishing financier en 2025 s’est réorienté vers les plateformes numériques et le e-commerce au détriment des leurres bancaires traditionnels :

  • Web services : 16,15% des pages de phishing bloquées
  • Jeux en ligne : 14,58%
  • Boutiques en ligne : 14,17%

Globalement, les boutiques en ligne dominent les pages de phishing financier (48,45%), suivies des banques (26,05%) et des systèmes de paiement (25,50%).

Marques les plus usurpées : Netflix (28,42%), Apple (20,55%), Spotify (18,09%), Amazon (17,85%).

Systèmes de paiement usurpés : Mastercard (33,45%), Visa (20,06%), PayPal (14,10%), PayPay (11,72%), American Express (3,87%).

Variations régionales notables :

  • Moyen-Orient : e-commerce dominant (85,8%)
  • Afrique : phishing bancaire en tête (53,75%)
  • LATAM : sociétés de livraison dans le top des catégories
  • APAC : parts quasi-égales entre jeux en ligne et banques

🦠 Malwares bancaires PC

Le nombre d’utilisateurs touchés par des malwares bancaires PC continue de décliner, avec 1 338 357 attaques de trojans bancaires enregistrées globalement (novembre 2024 – octobre 2025). Les vecteurs de distribution restent les emails malveillants, sites compromis et droppers.

Familles notables :

  • Grandoreiro (groupe Tetrade, origine brésilienne) : toujours actif malgré une opération de démantèlement début 2024, avec de nouveaux variants
  • Coyote : famille brésilienne active
  • Maverick : famille émergente, utilise WhatsApp pour la distribution, techniques fileless, ciblage des plateformes bancaires desktop
  • GoPix : ciblage du système de paiement brésilien Pix et de la méthode Boleto, vol de cryptomonnaies
  • Pure Trojan : ciblage des systèmes de gestion électronique de documents (EDM) en entreprise, substitution de coordonnées bancaires dans les factures — 896 633 détections en 2025, plus de 64 000 utilisateurs touchés

Les malwares bancaires mobiles ont augmenté de 1,5 fois en 2025 par rapport à 2024.

🕵️ Infostealers et dark web

Les infostealers ont connu une hausse de 59% des détections sur PC en 2025. Ils constituent désormais le principal moteur de la cybercriminalité financière, alimentant un marché souterrain de credentials, données de paiement et profils d’identité complets (« fullz »).

  • Plus d’un million de comptes bancaires en ligne (clients des 100 plus grandes banques mondiales) compromis et partagés librement sur le dark web
  • Pays avec le plus grand nombre médian de comptes compromis par banque : Inde, Espagne, Brésil
  • 74% des cartes de paiement compromises par infostealers et publiées sur le dark web étaient encore valides en mars 2026

Le dark web propose également : vente de bases de données compilées (finance, crypto, personnes âgées, personnes aisées), services de création de sites de phishing, vente de « fullz ».

📋 Type d’article

Il s’agit d’une rétrospective annuelle et rapport de threat intelligence publié par Kaspersky, visant à documenter l’évolution du paysage des menaces financières en 2025 et à fournir des statistiques exploitables pour les équipes CTI et sécurité.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1056 — Input Capture (Collection)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1027.011 — Fileless Storage (Defense Evasion)
  • T1657 — Financial Theft (Impact)
  • T1585.002 — Establish Accounts: Email Accounts (Resource Development)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)

Malware / Outils

  • Grandoreiro (rat)
  • Coyote (rat)
  • Maverick (rat)
  • GoPix (other)
  • Pure Trojan (other)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ securelist.com — source reconnue (liste interne) (20pts)
  • ✅ 19448 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://securelist.com/financial-threat-report-2025/119304/