📰 Cet article de Malwarebytes, publié le 7 juillet 2026, s’appuie sur une investigation de BleepingComputer pour décrire une campagne de phishing à thème recrutement active depuis au moins cinq mois.

🎯 Cibles et leurres La campagne cible principalement les professionnels du marketing. Les victimes reçoivent de fausses invitations à des entretiens d’embauche ou des demandes de planification de la part de soi-disant recruteurs représentant des marques de premier plan : Netflix, Coca-Cola, Adidas, FIFA. Au moins 34 domaines imitant ces entreprises ont été identifiés.

🔗 Chaîne de redirection multi-étapes Pour contourner la détection, les attaquants acheminent les victimes à travers une chaîne de services légitimes avant d’atteindre le site de phishing final :

  • Abus de la plateforme RH cloud PeopleForce
  • Abus d’un domaine associé au service Salesforce Marketing Cloud
  • Redirection finale vers une page d’atterrissage malveillante

🪤 Technique de vol d’identifiants Le site malveillant affiche une fausse fenêtre de connexion Google construite à l’intérieur de la page web (et non dans une vraie fenêtre navigateur), imitant un pop-up d’authentification Google légitime pour dérober les identifiants des victimes.

📌 Une campagne similaire ciblant les identifiants Facebook a également été documentée par Malwarebytes en avril 2026, impliquant des leurres Coca-Cola et Ferrari.

🗂️ Il s’agit d’un article de presse spécialisée à visée informative et de sensibilisation, documentant une campagne de phishing active avec des éléments techniques sur les mécanismes d’évasion utilisés.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1056.003 — Input Capture: Web Portal Capture (Collection)
  • T1036 — Masquerading (Defense Evasion)
  • T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
  • T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)

🔴 Indice de vérification factuelle : 30/100 (basse)

  • ⬜ malwarebytes.com — source non référencée (0pts)
  • ✅ 4048 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.malwarebytes.com/blog/scams/2026/07/fake-netflix-coca-cola-and-fifa-job-scams-target-marketers

🖴 Archive : https://web.archive.org/web/20260716072910/https://www.malwarebytes.com/blog/scams/2026/07/fake-netflix-coca-cola-and-fifa-job-scams-target-marketers