PhaaS

Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246. Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365. Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données). ...

Selon Okta Threat Intelligence (sec.okta.com), une analyse détaillée dévoile « VoidProxy », une opération de Phishing-as-a-Service inédite et particulièrement évasive, ciblant des comptes Microsoft et Google et redirigeant les comptes fédérés (SSO tiers comme Okta) vers des pages de phishing de second niveau. • Aperçu de la menace: VoidProxy est un service mature et scalable de phishing en Adversary-in-the-Middle (AitM) capable d’intercepter en temps réel les flux d’authentification pour capturer identifiants, codes MFA et cookies de session, contournant des méthodes MFA courantes (SMS, OTP d’apps). Les comptes compromis facilitent des activités telles que BEC, fraude financière, exfiltration de données et mouvements latéraux. Les utilisateurs protégés par des authentificateurs résistants au phishing (ex: Okta FastPass) n’ont pas pu se connecter via l’infrastructure VoidProxy et ont été alertés. Okta fournit un avis de menace complet (avec IOCs) via security.okta.com et Identity Threat Protection. ...