Ingénierie Sociale

Des hackers ciblent les fabricants et entreprises technologiques américaines en exploitant les formulaires de contact sur leurs sites web pour dissimuler des malwares sous forme de faux accords de confidentialité (NDA)[web:1][web:2]. À la différence du phishing classique par email, les attaquants entament d’abord un dialogue via le formulaire « Contactez-nous », rendant la démarche plus crédible et difficile à détecter. L’échange est maintenu sur une période pouvant aller jusqu’à deux semaines, durant laquelle les hackers se font passer pour des partenaires commerciaux potentiels et finissent par envoyer un “contrat” NDA dans une archive ZIP hébergée sur Heroku[web:1]. Le fichier malveillant, nommé MixShell, est conçu pour s’exécuter en mémoire, assurant une persistance discrète sur le système infecté. ...

ncsc.admin.ch (NCSC/OFCS) rapporte, dans sa revue hebdomadaire du 26.08.2025, une augmentation significative des signalements de phishing liés à de faux avis de colis, avec un ciblage notable des utilisatrices et utilisateurs Apple. ⚠️ La campagne usurpe des marques connues comme La Poste Suisse et DPD et s’appuie sur des protocoles modernes comme iMessage (Apple) et RCS (Android). Les messages sont chiffrés de bout en bout, une caractéristique détournée par les attaquants pour contourner le scanning des opérateurs et maximiser la délivrabilité des liens malveillants. ...

Source: Microsoft Threat Intelligence et Microsoft Defender Experts — billet technique détaillant, avec exemples et IOCs, l’essor de la technique d’ingénierie sociale « ClickFix » observée depuis 2024. • ClickFix insère une étape d’« interaction humaine » dans la chaîne d’attaque via des pages d’atterrissage qui miment des vérifications (CAPTCHA, Cloudflare Turnstile, faux sites officiels). Les victimes copient-collent puis exécutent elles‑mêmes des commandes dans Win+R, Terminal ou PowerShell. Les charges livrées incluent des infostealers (Lumma, Lampion), des RATs (Xworm, AsyncRAT, NetSupport, SectopRAT), des loaders (Latrodectus, MintsLoader) et des rootkits (r77 modifié). Beaucoup d’exécutions sont fileless et s’appuient sur des LOLBins (powershell.exe, mshta.exe, rundll32.exe, msbuild.exe, regasm.exe). ...

Source: ncsc.admin.ch (OFCS/NCSC), communication du 19.08.2025. L’office décrit deux incidents survenus la semaine précédente illustrant l’évolution des méthodes d’ingénierie sociale pour installer des logiciels malveillants, malgré la baisse apparente des signalements de malware au S1 2025 (182 cas, ~0,4%). • Contexte chiffré: au premier semestre 2025, seuls 182 signalements liés aux logiciels malveillants ont été reçus (~0,4%). Le NCSC avance deux lectures: d’un côté, les protections techniques (antivirus, filtres anti‑spam) bloquent davantage; de l’autre, les attaques deviennent plus furtives et passent inaperçues. ...

Selon Have I Been Pwned (HIBP), en juillet 2025, Allianz Life a subi une cyberattaque aboutissant à une fuite en ligne de millions d’enregistrements. L’entreprise attribue l’incident à une technique d’ingénierie sociale ayant visé des données hébergées sur Salesforce. L’exposition confirmée inclut 1,1 million d’adresses email uniques, ainsi que des noms, genres, dates de naissance, numéros de téléphone et adresses postales. Impact principal: compromission de PII avec diffusion ultérieure en ligne, la portée chiffrée par HIBP portant sur 1,1 M d’emails uniques. ...

Selon BleepingComputer, le géant des ressources humaines Workday a annoncé une fuite de données liée à un accès non autorisé à une plateforme de gestion de la relation client (CRM) tierce, obtenu via une récente attaque d’ingénierie sociale. Les faits rapportés indiquent une intrusion via un fournisseur tiers: des attaquants ont accédé à une plateforme CRM utilisée par Workday à la suite d’une attaque d’ingénierie sociale. Points clés: Nature de l’incident: fuite/violation de données 📣 Vecteur: plateforme CRM tierce 🧩 Méthode: ingénierie sociale 🎭 Acteur impacté: Workday (prestataire RH) Aucun autre détail sur l’étendue des données ou le nombre de clients affectés n’est fourni dans l’extrait. ...

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Selon BleepingComputer, des hackers ont diffusé les données volées de l’assureur américain Allianz Life, confirmant une vague d’attaques visant Salesforce et impliquant ShinyHunters, avec des revendications d’alignement avec Scattered Spider et Lapsus$. • Impact et contexte 🧾 — Allianz Life avait dévoilé en juillet qu’une « majorité » de ses 1,4 M de clients avait été affectée par un vol de données depuis un CRM cloud tiers (le fournisseur n’a pas été nommé). Les acteurs ont depuis publié les bases complètes dérobées aux instances Salesforce de l’entreprise. Les attaquants ont aussi ouvert un canal Telegram « ScatteredLapsuSp1d3rHunters » pour revendiquer plusieurs intrusions, notamment chez Internet Archive, Pearson et Coinbase. ...

Selon Ars Technica, Google a divulgué que son instance Salesforce a été compromise en juin, deux mois après que Google lui‑même a alerté sur une campagne de masse visant les clients Salesforce par ingénierie sociale, menée par des acteurs financiers. Les attaquants ne passent pas par une faille logicielle mais par des appels téléphoniques 📞: ils se font passer pour l’IT du client et demandent de lier une application externe à l’instance Salesforce. Ils obtiennent de l’employé le code de sécurité à 8 chiffres requis par l’interface, qu’ils utilisent ensuite pour lier l’app et accéder à l’instance et aux données stockées. Cette méthode abuse d’une fonctionnalité de liaison d’apps tierces de Salesforce. ...

CloudSEK publie une analyse sur l’exploitation de la fête indienne de Raksha Bandhan par des cybercriminels, décrivant des campagnes de phishing, des fraudes UPI et des sites e‑commerce factices visant les acheteurs à l’occasion du festival. L’étude met en avant des campagnes de phishing et d’ingénierie sociale jouant sur l’urgence et les promotions de fête : offres de cadeaux frauduleuses, fausses notifications de livraison, et escroqueries UPI orchestrées via des invites « intent-based » sur mobile. ...