Ingénierie Sociale

🗓️ Contexte Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires. 🎯 Déroulement de l’attaque L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant. ...

🏛️ Contexte Alerte de sécurité AL26-010 publiée le 1er mai 2026 par le Centre canadien pour la cybersécurité (CCCS). Elle s’adresse aux professionnels TI et gestionnaires. Elle documente des cyberactivités malveillantes continues à motivation financière observées depuis mi-2025, avec une évolution marquée vers l’ingénierie sociale ciblant les plateformes SaaS et de gestion des identités d’entreprise. 🎯 Vecteurs d’accès initial Les campagnes n’exploitent pas de vulnérabilités logicielles mais reposent sur : Hameçonnage vocal (vishing) : usurpation d’identité de personnel IT ou de fournisseurs de confiance pour inciter les employés à s’authentifier sur des portails contrôlés par l’attaquant ou à modifier leur AMF Collecte de justificatifs et interception d’AMF : pages de phishing usurpant des marques, utilisation de cadriciels AiTM (Adversary-in-the-Middle) pour capturer des sessions SSO valides en temps réel Usurpation de sous-domaines : recours à des sous-domaines imitant les portails SSO (ex. <organization>sso[.]com) pour contourner les contrôles de réputation de domaines Abus des processus de service d’assistance : manipulation du personnel de support pour réinitialiser l’AMF ou inscrire des dispositifs contrôlés par l’attaquant Compromission de la chaîne d’approvisionnement SaaS : vol de jetons OAuth de rafraîchissement depuis des fournisseurs tiers compromis pour accéder aux systèmes clients sans déclencher l’AMF 🔍 Indicateurs clés observés Création de jetons OAuth lors d’appels suspects Connexions d’applications génériques (ex. « Outil de soutien », « Chargeur de données ») Sessions concurrentes depuis des IP ou régions différentes en quelques minutes Utilisation de jetons depuis des adresses IP étrangères, VPN ou nœuds Tor dans les secondes suivant leur création Absence de défi AMF dans les journaux d’authentification Hausse soudaine de requêtes API REST ciblant des objets à forte valeur (comptes, contacts, dossiers) Requêtes SELECT * sur des tables entières rarement consultées 💥 Activité post-compromission Déplacement latéral entre applications SaaS (messagerie, GRC, RH, référentiels documentaires) via SSO Exfiltration massive de données via API et fonctions d’export légitimes Exploitation d’intégrations SaaS tierces et de jetons stockés pour accéder aux systèmes en aval Campagnes d’extorsion avec menace de publication ou vente des données sur des sites de fuites ou forums clandestins Absence de déploiement de maliciels, rendant la détection par les outils endpoint conventionnels inefficace 📌 Type et portée Il s’agit d’une alerte de sécurité officielle émise par une autorité nationale de cybersécurité canadienne. Elle vise à sensibiliser les organisations aux tactiques d’acteurs cybercriminels à motivation financière et à fournir des indicateurs de détection exploitables pour les équipes SOC et CTI. ...

📅 Contexte Source : Office fédéral de la cybersécurité (OFCS) – Publication du 04/05/2026, relatant des faits observés à partir du 28/04/2026. Il s’agit d’un bilan hebdomadaire (semaine 17) de signalements reçus par l’autorité suisse. 🎯 Nature de la menace L’OFCS constate une recrudescence des signalements liés aux escroqueries dites « Coucou maman/papa » (arnaque au faux proche en détresse). Ces campagnes ciblent des particuliers, typiquement des parents, en se faisant passer pour un enfant ayant changé de numéro. ...

📰 Contexte Source : The Record Media, publié le 2 avril 2026. WhatsApp (filiale de Meta) a publié une annonce officielle révélant la découverte d’une fausse version de son application mobile, conçue pour infecter des utilisateurs avec un spyware. 🎯 Nature de l’attaque La société italienne SIO, via sa filiale ASIGINT, a développé un faux client WhatsApp ciblant les iPhones. Ce client malveillant était distribué via des techniques d’ingénierie sociale hautement ciblées, incitant les victimes à télécharger l’application en dehors des canaux officiels. ...

📅 Source : NCSC Suisse (ncsc.admin.ch), publié le 29 mars 2026 — Rétrospective hebdomadaire semaine 12. 🎯 Contexte général Le NCSC suisse décrit l’évolution des arnaques aux fausses offres d’emploi ciblant les chercheurs d’emploi en Suisse. Ces escroqueries ont progressivement gagné en sophistication au fil des années. 📈 Évolution des techniques frauduleuses Première vague : ciblage de personnes cherchant un emploi dans la restauration, avec demande de paiement anticipé de fausses cotisations d’assurance maladie. Deuxième vague : fausses plateformes de missions où les candidats devaient payer plus qu’ils ne gagnaient. Variante la plus récente : les escrocs imitent des entreprises suisses existantes et publient de fausses offres d’emploi jusque dans les journaux, combinant usurpation d’identité d’entreprise et présence dans des médias traditionnels. 🔍 Techniques identifiées Les attaquants recourent à l’ingénierie sociale, à l’usurpation d’identité d’entreprises légitimes et à des leurres financiers pour tromper les victimes. ...

🔍 Contexte Publié le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article présente la découverte d’un nouvel infostealer macOS initialement nommé NukeChain, puis renommé Infiniti Stealer après la divulgation publique de son panneau de contrôle. Il s’agit, selon les auteurs, de la première campagne macOS documentée combinant la technique ClickFix et un stealer Python compilé avec Nuitka. 🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA L’infection débute sur le domaine update-check[.]com, qui affiche une réplique de page de vérification humaine Cloudflare. L’utilisateur est invité à : ...

Selon l’AIVD (Service général de renseignement et de sécurité) et la MIVD (Renseignement militaire) des Pays-Bas, via un avis publié le 09/03/2026, des hackers étatiques russes mènent une campagne mondiale contre des comptes Signal et WhatsApp de dignitaires, militaires, fonctionnaires et autres cibles d’intérêt (dont des journalistes). Les services confirment que des agents publics néerlandais sont visés et certains déjà victimes. Les attaquants recourent à de l’ingénierie sociale pour soutirer les codes de vérification et PIN des utilisateurs, notamment en se faisant passer pour un chatbot de support Signal. Ils abusent aussi de la fonction “appareils liés” de Signal/WhatsApp pour connecter discrètement un appareil et lire à distance les conversations. Les services précisent qu’aucune vulnérabilité technique des applications n’est exploitée: la menace vise des comptes individuels, pas l’intégralité des plateformes. Bien que les apps offrent une chiffrement de bout en bout, la MIVD rappelle qu’elles ne doivent pas servir à des informations classifiées ou sensibles. ...

Selon Malwarebytes (blog Threat Intel), une campagne de phishing de remboursement usurpe l’identité visuelle d’Avast pour pousser des utilisateurs francophones à divulguer leurs coordonnées complètes et leurs données de carte bancaire sous prétexte d’un remboursement de 499,99 €. — Le site frauduleux reproduit fidèlement l’interface d’Avast (logo servi depuis le CDN officiel) et affiche un débit du jour en insérant dynamiquement la date locale, tout en fixant le montant à -€499,99. Un bandeau d’alerte contradictoire (« 72h » vs « 48h ») crée un sentiment d’urgence, et un formulaire collecte identité, coordonnées et adresse avant d’exiger le numéro de carte, date d’expiration et CVV pour soi‑disant créditer le remboursement. ...

Selon une analyse de Neil Lofland publiée le 2 mars 2026, une campagne mondiale de distribution de malware abuse de la confiance des utilisateurs via des sites WordPress compromis et une imitation de vérification Cloudflare afin d’installer AMOS (Atomic macOS Stealer) sur macOS. • L’attaque s’appuie sur un Traffic Delivery System (TDS) ultra-sélectif qui masque l’injection aux scanners, VPN, datacenters et outils d’analyse. L’accès malveillant est servi uniquement aux visiteurs “grand public” (IP résidentielles, empreintes navigateur cohérentes), rendant la compromission quasi invisible aux contrôles automatisés. ...

Source : Elliptic (20 février 2026). Le billet fait le point douze mois après l’exploit de Bybit, attribué au DPRK et confirmé par le FBI, et décrit l’évolution des vols et du blanchiment crypto associés à la Corée du Nord. Elliptic rappelle que l’attaque contre Bybit (21 février 2025) a abouti au vol d’environ 1,46 Md$ en cryptoactifs – le plus grand vol confirmé à ce jour – et que la majorité des fonds a depuis été blanchie, notamment via des adresses de remboursement, la création de tokens sans valeur et une diversification inédite entre mixers, avec un recours important à des services OTC chinois suspectés (plus de 1 Md$ déjà blanchi à mi‑2025). ...