PhaaS

Contexte: sicuranext.com (Claudio Bono) publie une analyse CTI basée sur un pipeline d’intelligence temps réel (SSL/TLS et centaines de sources), couvrant le dernier trimestre avec 42 000+ URLs et domaines actifs liés à des kits de phishing, C2 et livraison de payloads. 🔎 Infrastructures et hébergement 68% de l’infrastructure de phishing observée se trouve derrière Cloudflare (AS13335), devant GCP (13,5%), AWS (8,6%) et Azure (5,4%). Sur 12 635 IPs uniques, 51,54% sont en hébergement direct (infrastructures jetables), 48,46% protégées par CDN/proxy (dont 92% via Cloudflare), rendant le blocage IP largement inefficace sur près de la moitié du paysage. Fiabilité opérationnelle élevée: 96,16% de taux moyen de résolution DNS. 🕸️ Abus de confiance et TLDs utilisés ...

Push Security publie une analyse technique (18 nov. 2025) d’une campagne liée au kit PhaaS Sneaky2FA, observant l’ajout de fonctionnalités Browser‑in‑the‑Browser (BITB) et plusieurs mécanismes d’évasion avancés. — Aperçu de l’attaque — Type d’attaque: phishing avec Attacker‑in‑the‑Middle (AITM) et BITB. Leurres: « Sign in with Microsoft » pour ouvrir un document présenté comme Adobe Acrobat Reader. Hébergement/flux: accès initial à previewdoc[.]us avec Cloudflare Turnstile (anti‑bot), redirection vers un sous‑domaine puis affichage d’un faux popup navigateur contenant une page de connexion Microsoft en reverse‑proxy. Effet: vol d’identifiants Microsoft et de la session active, permettant une prise de contrôle de compte. Détails UI: la fausse fenêtre popup s’aligne sur l’OS et le navigateur (ex. Windows/Edge, macOS/Safari) et simule une barre d’adresse affichant une URL Microsoft crédible. — Techniques d’évasion observées — ...

Selon BleepingComputer, Google a déposé une plainte visant à démanteler « Lighthouse », une plateforme de phishing-as-a-service (PhaaS) exploitée par des cybercriminels dans le monde entier pour des campagnes de smishing. Contexte Google a déposé une plainte pour démanteler Lighthouse, une plateforme de phishing-as-a-service (PhaaS) utilisée mondialement pour mener des campagnes de smishing imitant notamment USPS et E-ZPass. L’objectif est de neutraliser l’infrastructure Web qui a permis à Lighthouse d’opérer à grande échelle et d’alimenter des campagnes frauduleuses ciblant plus d’un million de victimes dans 120 pays. ...

Selon la dernière recherche de SpyCloud, les campagnes de phishing alimentent de plus en plus les déploiements de ransomware, dans un contexte de cybercriminalité dopée à l’IA et d’infections massives par des infostealers. • Principaux constats: les attaques de ransomware initiées par phishing ont augmenté de 10 points en un an. Le phishing devient le vecteur d’entrée dominant (35%), contre 25% en 2024. • Facteurs clés: la montée en puissance du Phishing-as-a-Service (PhaaS) et l’usage de techniques Adversary-in-the-Middle (AitM) permettent de contourner la MFA et de détourner des sessions actives. ...

Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246. Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365. Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données). ...

Selon Okta Threat Intelligence (sec.okta.com), une analyse détaillée dévoile « VoidProxy », une opération de Phishing-as-a-Service inédite et particulièrement évasive, ciblant des comptes Microsoft et Google et redirigeant les comptes fédérés (SSO tiers comme Okta) vers des pages de phishing de second niveau. • Aperçu de la menace: VoidProxy est un service mature et scalable de phishing en Adversary-in-the-Middle (AitM) capable d’intercepter en temps réel les flux d’authentification pour capturer identifiants, codes MFA et cookies de session, contournant des méthodes MFA courantes (SMS, OTP d’apps). Les comptes compromis facilitent des activités telles que BEC, fraude financière, exfiltration de données et mouvements latéraux. Les utilisateurs protégés par des authentificateurs résistants au phishing (ex: Okta FastPass) n’ont pas pu se connecter via l’infrastructure VoidProxy et ont été alertés. Okta fournit un avis de menace complet (avec IOCs) via security.okta.com et Identity Threat Protection. ...