📅 Source : PIXM Security, blog publié le 11 juillet 2026. Analyse basée sur des centaines de campagnes de phishing vérifiées observées sur les flottes d’entreprises protégées par PIXM en 2026.
Contexte
Les équipes de sécurité concentrent traditionnellement leurs défenses anti-phishing sur la messagerie d’entreprise (SEG, DMARC, sandboxes, bannières d’avertissement). PIXM documente un glissement structurel : les attaquants ont abandonné ce vecteur comme point d’entrée principal.
Chiffre clé
60% des clics sur des pages de phishing vérifiées en 2026 proviennent de canaux extérieurs à la messagerie d’entreprise. Environ 40% des pages analysées portaient des empreintes de clic publicitaire directement dans leurs URLs (preuve directe, sans inférence).
Vecteurs documentés
🎯 Flank personnel (SMS / webmail personnel)
- Leurre envoyé par SMS ou webmail personnel, souvent depuis un compte légitime compromis
- Lien vers une fausse invitation Paperless Post hébergée sur infrastructure légitime
- La page demande une connexion via un fournisseur email → sert une fausse page Microsoft 365 / Outlook pixel-perfect
- Capture des identifiants d’entreprise ; les kits modernes fonctionnent en relais adversary-in-the-middle capturant la session authentifiée MFA incluse
- Le compte compromis sert ensuite à propager la campagne suivante
💰 Flank payant (publicités)
- Search ads : résultats Google Ads malveillants au-dessus des résultats organiques (ex. page hébergée sur Heroku, juin 2026)
- Social media ads : placements payants Facebook diffusant des faux alertes de sécurité (ex. domaine
viruswarning0424usd2pkku.z13.web.core.windows[.]net, avril 2026) - Content-recommendation ads : tuiles sponsorisées Taboola sur sites légitimes menant à de fausses alertes virus avec numéro de support frauduleux (ex. Azure static hosting, mars 2026)
IOCs documentés (URLs défangées dans l’article)
derckuin-03-003-8fe60fd563e6.herokuapp[.]com— fausse alerte sécurité via Google Ads, juin 2026viruswarning0424usd2pkku.z13.web.core.windows[.]net— leurre Facebook Ads, avril 2026w9what09nw3w0602c018.z13.web.core.windows[.]net— fausse alerte virus via Taboola, mars 2026
Techniques observées
- Utilisation de l’IA générative pour produire des créatifs publicitaires, des pages de marque et des variantes de contenu à grande échelle
- Phishing-as-a-Service pour industrialiser le backend
- Hébergement sur infrastructure cloud légitime (Azure Static Web Apps, Heroku) pour contourner les outils de réputation
- Paramètres de tracking publicitaire (
gclid,fbclid,tblci) préservés dans les URLs comme empreintes de livraison
📌 Type d’article
Publication de recherche / analyse de menace produite par PIXM Security, visant à documenter le déplacement structurel du phishing hors de la messagerie d’entreprise et à promouvoir une approche de détection au niveau du navigateur.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
- T1557 — Adversary-in-the-Middle (Credential Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1078 — Valid Accounts (Defense Evasion)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1608.005 — Stage Capabilities: Link Target (Resource Development)
- T1585.002 — Establish Accounts: Email Accounts (Resource Development)
- T1660 — Phishing (Initial Access)
IOC
- Domaines :
derckuin-03-003-8fe60fd563e6.herokuapp.com— VT · URLhaus · ThreatFox - Domaines :
viruswarning0424usd2pkku.z13.web.core.windows.net— VT · URLhaus · ThreatFox - Domaines :
w9what09nw3w0602c018.z13.web.core.windows.net— VT · URLhaus · ThreatFox - URLs :
https://derckuin-03-003-8fe60fd563e6.herokuapp.com/?gad_source=5&gad_campaignid=23910738475&gclid=EAIaIQobChMIkp3Cy…— URLhaus - URLs :
https://viruswarning0424usd2pkku.z13.web.core.windows.net/?utm_medium=paid&utm_source=fb&utm_campaign=1202438426…&fbclid=IwY2xjawRYeFhle…— URLhaus - URLs :
https://w9what09nw3w0602c018.z13.web.core.windows.net/index.html?utm_source=taboola&utm_medium=referral&tblci=GiCpbXAXF3BGze…— URLhaus
🟡 Indice de vérification factuelle : 40/100 (moyenne)
- ⬜ pixmsecurity.com — source non référencée (0pts)
- ✅ 9983 chars — texte complet (15pts)
- ✅ 6 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ 0/6 IOCs confirmés externellement (0pts)
- ✅ 9 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://pixmsecurity.com/blog/blog/ai-era-phishing-flanking-the-corporate-inbox/