Phishing AITM

Source: Infoblox (blog Threat Intelligence). Contexte: Infoblox décrit une série d’attaques de phishing adversary‑in‑the‑middle (AITM) avec Evilginx visant des portails SSO d’universités américaines depuis avril 2025, et explique comment l’analyse DNS a permis de cartographier l’infrastructure et de suivre les campagnes. Les campagnes ont été diffusées par email avec des liens TinyURL redirigeant vers des URL de phishing générées par des « phishlets » Evilginx. Chaque URL utilisait un sous‑domaine imitant le SSO ciblé et un chemin à 8 lettres aléatoires, avec une expiration en 24 h. Evilginx a proxifié en temps réel les flux d’authentification, rendant le trafic légitime en apparence et contournant la MFA. 🎣 ...

Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants. ...