Phishing

Selon Cyble (CRIL), une campagne de phishing à large échelle, active depuis début 2026 et principalement hébergée sur l’infrastructure edgeone.app, exploite des leurres variés et les permissions navigateur pour capturer des données multimédia et de l’empreinte appareil, avec exfiltration via l’API Telegram. 🎯 Aperçu et infrastructure. Les pages malveillantes imitent des services connus (TikTok, Telegram, Instagram, Chrome/Google Drive, et des thèmes jeux comme Flappy Bird) et se présentent comme des portails de vérification ou de récupération. Les opérateurs hébergent de multiples modèles sur edgeone.app (EdgeOne Pages), ce qui facilite la rotation rapide d’URL et la haute disponibilité. Le C2 et la collecte sont simplifiés via l’API de bot Telegram (api.telegram.org), évitant un backend classique. ...

Selon une mise à jour web publiée par Intuitive, l’entreprise a déterminé qu’un tiers non autorisé a accédé à des informations issues de certaines applications informatiques internes à la suite d’un incident de cybersécurité de type phishing ciblé. Intuitive indique avoir activé rapidement ses protocoles de réponse à incident dès la découverte de l’événement et sécurisé toutes les applications affectées, en publiant cette mise à jour pour assurer la transparence au-delà des notifications requises. ...

Source : INTERPOL — Dans le cadre de l’Operation Synergia III (18 juillet 2025 – 31 janvier 2026), coordonnée par INTERPOL depuis Lyon et impliquant 72 pays et territoires, les forces de l’ordre ont démantelé plus de 45 000 adresses IP et serveurs malveillants, procédé à 94 arrestations (110 personnes toujours sous enquête) et saisi 212 appareils électroniques et serveurs. 🚔🌐 L’opération visait des activités de phishing, malware et ransomware. INTERPOL a transformé des données en renseignements opérationnels, facilité la collaboration transfrontalière et apporté un appui tactique, conduisant à des perquisitions ciblées et à la perturbation d’activités cybercriminelles. Le directeur de la Cybercrime d’INTERPOL, Neal Jetton, a souligné l’escalade de la sophistication de la cybercriminalité en 2026 et l’efficacité de la coopération mondiale. ...

Source: Huntress (blog), publication du 11 mars 2026. Contexte: analyse de plusieurs intrusions observées entre décembre 2025 et janvier 2026 montrant un « daisy-chaining » d’outils RMM pour l’accès initial, la persistance et l’évasion, avec une visibilité inédite lorsque des acteurs se sont inscrits directement sur la plateforme Huntress. Chiffres clés et tendance 📈: L’abus d’outils RMM représente 24% des incidents observés par Huntress l’an passé, avec une hausse de 277%. Les acteurs — du peu qualifié aux groupes plus établis — abandonnent des outils “hacking” classiques au profit de RMM légitimes pour déposer des charges, voler des identifiants et exécuter des commandes. La technique centrale est le daisy-chaining de RMM pour fragmenter la télémétrie, distribuer la persistance et compliquer l’attribution/containment. ...

Source: Infoblox (blog Threat Intelligence). Contexte: publication détaillant des campagnes de phishing qui exploitent le TLD .arpa via IPv6 et d’autres tactiques pour contourner les défenses, avec IOCs et schémas techniques. — Les acteurs abusent du TLD .arpa (réservé aux usages d’infrastructure DNS, notamment les reverse DNS en ip6.arpa) en créant, chez certains fournisseurs DNS, des enregistrements A sur des noms de reverse IPv6, ce qui ne devrait pas être possible. En obtenant un espace d’adresses IPv6 (souvent via des tunnels IPv6 gratuits) et la délégation du sous-domaine ip6.arpa correspondant, ils évitent d’ajouter des PTR et créent des A records qui pointent vers du contenu hébergé (souvent derrière l’edge Cloudflare), tirant parti de la confiance implicite accordée au TLD .arpa. ...

Selon GNT, Florajet, important service français de livraison de fleurs, a subi début mars 2026 une cyberattaque ayant conduit à l’exfiltration et à la mise en vente d’une vaste base de données de commandes. Type d’attaque : accès non autorisé à un outil interne BtoB via les identifiants d’un fleuriste partenaire (chaîne de sous-traitance), ayant permis l’exfiltration de données. Impact : 1,4 million de commandes (2023–2026) compromises, 136 Go de bons de commande PDF. Données volées : noms et prénoms de l’expéditeur et du destinataire, adresses complètes, près de 952 000 numéros de téléphone uniques, et surtout les messages d’accompagnement souvent très intimes (déclarations, excuses, condoléances). Monétisation : base mise en vente sur des forums du dark web. 🌐 L’élément le plus sensible est la divulgation des messages personnels, représentant une atteinte grave à la vie privée au-delà d’une simple fuite de coordonnées. ...

Selon Malwarebytes (blog Threat Intel), une campagne de phishing de remboursement usurpe l’identité visuelle d’Avast pour pousser des utilisateurs francophones à divulguer leurs coordonnées complètes et leurs données de carte bancaire sous prétexte d’un remboursement de 499,99 €. — Le site frauduleux reproduit fidèlement l’interface d’Avast (logo servi depuis le CDN officiel) et affiche un débit du jour en insérant dynamiquement la date locale, tout en fixant le montant à -€499,99. Un bandeau d’alerte contradictoire (« 72h » vs « 48h ») crée un sentiment d’urgence, et un formulaire collecte identité, coordonnées et adresse avant d’exiger le numéro de carte, date d’expiration et CVV pour soi‑disant créditer le remboursement. ...

Selon le blog officiel de LastPass (05/03/2026), l’équipe Threat Intelligence, Mitigation, and Escalation (TIME) alerte ses clients d’une campagne de phishing active débutée autour du 1er mars 2026, sans impact sur les systèmes LastPass. 🎣 Le cœur de l’attaque repose sur des fils d’e-mails factices qui simulent des échanges internes sur des actions non autorisées (export de coffre, récupération de compte, enregistrement de nouvel appareil, etc.). Les attaquants utilisent la spoofing du display name pour faire apparaître “LastPass” comme expéditeur, en pariant sur le fait que de nombreux clients mail (notamment mobiles) n’affichent que le nom et masquent l’adresse réelle. ...

Source et contexte: Microsoft Security Blog (Microsoft Defender Security Research) décrit des campagnes de phishing exploitant le mécanisme standard de redirection d’OAuth afin de contourner les défenses et livrer des malwares, avec des cibles incluant des organisations gouvernementales et du secteur public. Résumé de la technique: Des applications OAuth malveillantes, créées dans des tenants contrôlés par l’attaquant, déclarent des URI de redirection pointant vers des domaines malveillants. Des emails de phishing intègrent des URLs OAuth (Microsoft Entra ID/Google) manipulant notamment prompt=none et des scopes invalides pour provoquer un échec d’autorisation et une redirection d’erreur vers l’infrastructure de l’attaquant, sans vol de jetons. Le paramètre state est détourné pour transporter l’email de la victime (en clair, hex, Base64, schémas custom), et des cadres de phishing tels qu’EvilProxy sont utilisés après redirection. Les leurres incluent e-signatures, sécurité sociale, finances, politique, ainsi que PDF ou faux .ics de calendrier. ...

Source: Datadog (analyse technique signée par Martin McCloskey). L’article retrace l’évolution du kit de phishing 1Phish (sept. 2025 → fév. 2026) qui cible les utilisateurs de 1Password via des domaines typosquattés et des emails à thème « compromission », passant d’un collecteur basique d’identifiants à une plateforme multi‑étapes compatible MFA, avec anti‑analyse et gestion de session. • Évolution par versions. V1 (sept. 2025) est une page HTML légère (~258 lignes) récoltant email, clé secrète et mot de passe, sans MFA ni fingerprinting. V2 (sept.–oct. 2025) ajoute validation côté client, Cloudflare challenges, fingerprinting (canvas, WebGL, plugins, dimensions), et l’intégration de HideClick pour cloaking/filtrage des bots. V3 (oct. 2025–fév. 2026) introduit un workflow multi‑étapes, une porte de validation pré‑phishing (/validate), la capture d’OTP/2FA (POST /submit-2fa) et une double collecte de mots de passe (ancien/nouveau). V4 (fév. 2026) bascule vers une architecture REST avec gestion de session, ciblage entreprise/équipe (sous‑domaine d’entreprise), sélection de région, internationalisation, collecte de codes de récupération 1PRK, obfuscation JS et bot scoring actif (/api/validate-access). ...