Ingénierie Sociale

CloudSEK publie une analyse sur l’exploitation de la fête indienne de Raksha Bandhan par des cybercriminels, décrivant des campagnes de phishing, des fraudes UPI et des sites e‑commerce factices visant les acheteurs à l’occasion du festival. L’étude met en avant des campagnes de phishing et d’ingénierie sociale jouant sur l’urgence et les promotions de fête : offres de cadeaux frauduleuses, fausses notifications de livraison, et escroqueries UPI orchestrées via des invites « intent-based » sur mobile. ...

L’article de SecurityAffairs rapporte que le groupe cybercriminel Scattered Spider cible les hyperviseurs VMware ESXi dans les secteurs du commerce de détail, de l’aviation et du transport en Amérique du Nord. Ils utilisent principalement l’ingénierie sociale à travers des appels téléphoniques trompeurs aux services d’assistance informatique pour obtenir des accès, plutôt que d’exploiter des failles logicielles. Leur approche repose sur la tactique de living-off-the-land, exploitant les vulnérabilités humaines pour accéder aux systèmes. Une fois l’accès obtenu, ils abusent de Active Directory pour atteindre VMware vSphere, exfiltrer des données et déployer des ransomwares, tout en contournant les outils de détection des menaces. ...

Cet article de Wiz.io décrit les activités de TraderTraitor, un groupe de menace parrainé par l’État nord-coréen, opérant sous l’ombrelle du groupe Lazarus. TraderTraitor cible spécifiquement les organisations de cryptomonnaie et de blockchain à travers des attaques sophistiquées, y compris l’ingénierie sociale avancée, les compromissions de la chaîne d’approvisionnement et les attaques basées sur le cloud. Le groupe a été lié à des vols majeurs de cryptomonnaie totalisant des milliards de dollars, tels que le vol de 308 millions de dollars de DMM Bitcoin et le piratage de 1,5 milliard de dollars de Bybit. ...

L’article de TechCrunch rapporte une fuite de données chez Allianz Life, une grande compagnie d’assurance américaine. Le 16 juillet 2025, un acteur malveillant a accédé à un système CRM basé sur le cloud utilisé par Allianz Life. Le porte-parole de l’entreprise, Brett Weinberg, a confirmé que l’attaque a permis au pirate d’obtenir des données personnellement identifiables concernant la majorité des clients, des professionnels financiers, ainsi que certains employés d’Allianz Life. ...

Cet article de Google Cloud Threat Intelligence détaille l’attaque sophistiquée menée par le groupe de menace UNC3944, qui cible les environnements VMware vSphere dans les secteurs du commerce de détail, des compagnies aériennes et de l’assurance. L’attaque se déroule en cinq phases : Ingénierie sociale pour compromettre les opérations du help desk et obtenir les identifiants Active Directory. Prise de contrôle du plan de contrôle vCenter via la manipulation du chargeur de démarrage GRUB et le déploiement de Teleport C2. Vol d’identifiants hors ligne par manipulation de disques VM et exfiltration de NTDS.dit. Sabotage de l’infrastructure de sauvegarde par manipulation de groupes AD. Déploiement de ransomware au niveau ESXi utilisant vim-cmd et des binaires personnalisés. Les mesures d’atténuation techniques recommandées incluent : ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

Selon un article de BleepingComputer, le malware Matanbuchus est actuellement distribué à travers des appels sur Microsoft Teams. Les attaquants se font passer pour un service d’assistance informatique, exploitant ainsi la confiance des utilisateurs pour les inciter à installer le malware. Cette méthode repose sur des techniques d’ingénierie sociale, où les cybercriminels contactent directement les victimes potentielles via des appels sur Microsoft Teams. En se faisant passer pour des membres de l’équipe informatique, ils parviennent à convaincre les utilisateurs de suivre des instructions qui mènent à l’installation du malware. ...

L’article publié par Ben Nahorney et Brandon Overstreet le 17 juillet 2025, met en lumière une nouvelle technique d’attaque exploitée par le groupe PoisonSeed pour contourner les clés FIDO, un outil de MFA (authentification multifactorielle) réputé pour sa sécurité. PoisonSeed utilise une méthode d’ingénierie sociale pour exploiter la fonctionnalité de connexion multi-appareils des clés FIDO. Cette attaque commence par un phishing où les victimes sont incitées à entrer leurs identifiants sur une fausse page de connexion. Une fois les informations volées, les attaquants demandent une connexion multi-appareils, générant un QR code que l’utilisateur scanne avec son application d’authentification MFA, permettant ainsi aux attaquants d’accéder au compte compromis. ...

L’article de Bleeping Computer rapporte que Marks & Spencer (M&S) a confirmé avoir subi une attaque de ransomware. L’incident a commencé par une attaque sophistiquée d’usurpation d’identité via ingénierie sociale, permettant aux attaquants de compromettre le réseau de M&S. Cette intrusion initiale a ouvert la voie à une attaque par ransomware DragonForce. Le ransomware DragonForce est connu pour ses attaques ciblées sur les grandes entreprises, provoquant des perturbations significatives et des risques de fuite de données sensibles. ...

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...