📅 Source et contexte : Rapport publié le 2 juillet 2026 par PIXM Security, basé sur des détections effectuées dans des navigateurs d’entreprise entre le 23 et le 30 juin 2026.
🎯 Campagne 1 — Fausses invitations récoltant identifiants et OTP
Une famille de pages de phishing a usurpé l’identité de services légitimes (Paperless Post, Punchbowl Post, Greenvelope, Adobe Document Cloud) pour collecter des identifiants email et des codes OTP. Le flux est identique sur tous les domaines :
- La victime choisit son fournisseur email (Outlook, Office 365, Yahoo, AOL, Gmail)
- Un faux message « Mot de passe incorrect » force une seconde saisie propre
- Le kit demande ensuite le code OTP reçu par SMS, parfois avec un compte à rebours de 5 minutes
Les domaines utilisés reposaient sur des TLDs jetables (.vu, .sbs, .top, .one) et masquaient l’origine réelle derrière Cloudflare (adresses 104.21.x, 172.67.x, 2606:4700::). Le domaine check.apucv[.]vu activait le vrai challenge Cloudflare « Verify you are human » (token __cf_chl) pour paraître légitime et bloquer les crawlers automatisés. Le variant Greenvelope chaînait vers une seconde page Google à bakersflame[.]in.
🦠 Campagne 2 — Scarewares tech-support hébergés sur Microsoft Azure
Entre le 25 et le 30 juin, des pages clonant Microsoft Support ont été détectées sur Azure Blob Storage, atteintes via des liens publicitaires Facebook (paramètres utm_source=fb et fbclid). Ces pages affichaient des fausses alertes « System Error / Memory access violation », un faux blocage SmartScreen nommant « Trojan.Spy.Win32 », et un faux chat « Microsoft Support » redirigeant vers des numéros surtaxés. Seul le numéro de rappel changeait entre les déploiements.
Un variant Mac détecté le 29 juin sur Azure Front Door usurpait l’identité d’Apple avec une alerte « Apple_MacOS locked due to unusual activity », un faux scan antivirus, et des workers navigateur en boucle pour empêcher la fermeture de l’onglet.
🎬 Campagne 3 — Clone Netflix sur hébergement partagé
Le 26 juin, un clone de page de connexion Netflix a été détecté sur un sous-domaine cpanel.site. L’adresse email était pré-remplie, seul le mot de passe était demandé. Une fausse gate reCAPTCHA entourait le formulaire pour ralentir l’analyse. La page était fortement obfusquée.
🔧 Techniques d’évasion communes
- Hébergement sur infrastructure de confiance (Cloudflare, Azure Blob, Azure Front Door, cPanel)
- Utilisation de vrais challenges CAPTCHA Cloudflare
- Fausses gates reCAPTCHA
- Obfuscation du code
- Chaînage multi-domaines
📌 Type d’article : Analyse de menace et rapport de détection hebdomadaire produit par PIXM Security, visant à documenter des campagnes actives et fournir des IoCs exploitables.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1056.003 — Input Capture: Web Portal Capture (Collection)
- T1557 — Adversary-in-the-Middle (Collection)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1608.005 — Stage Capabilities: Link Target (Resource Development)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
IOC
- Domaines :
qavniro.vu— VT · URLhaus · ThreatFox - Domaines :
hovex.sbs— VT · URLhaus · ThreatFox - Domaines :
metrxevent51.top— VT · URLhaus · ThreatFox - Domaines :
celeebrationpartyy.one— VT · URLhaus · ThreatFox - Domaines :
check.apucv.vu— VT · URLhaus · ThreatFox - Domaines :
bakersflame.in— VT · URLhaus · ThreatFox - Domaines :
viruswarning0625uski6ky2.z13.web.core.windows.net— VT · URLhaus · ThreatFox - Domaines :
viruswarning0626uspv0rkm.z13.web.core.windows.net— VT · URLhaus · ThreatFox - Domaines :
viruswarning0626usshj03g.z13.web.core.windows.net— VT · URLhaus · ThreatFox - Domaines :
viruswarning0630usphtcaw.z13.web.core.windows.net— VT · URLhaus · ThreatFox - Domaines :
1012qhjrwepzzclfwtpzgghq-bqadcfaghxhvcegy.z03.azurefd.net— VT · URLhaus · ThreatFox - Domaines :
strmnflxsd.chf.40-81-246-96.cpanel.site— VT · URLhaus · ThreatFox
Malware / Outils
- Credential Harvesting Kit (invitation-themed) (other)
- Tech-Support Scareware (Azure-hosted) (other)
🟡 Indice de vérification factuelle : 48/100 (moyenne)
- ⬜ pixmsecurity.com — source non référencée (0pts)
- ✅ 7496 chars — texte complet (15pts)
- ✅ 12 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 1/3 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 9 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
hovex.sbs(domain) → VT (15/91 détections)
🔗 Source originale : https://pixmsecurity.com/blog/blog/verify-you-are-human-how-legitimate-captchas-are-turning-the-tables-and-concealing-phishing-attacks/