Phishing

Selon Pixm Security, la première moitié d’août a vu une nette hausse des campagnes malveillantes visant des utilisateurs Microsoft, avec des techniques variées et plus agressives. Les chercheurs rapportent une augmentation majeure des arnaques de support Microsoft qui recourent au verrouillage du clavier et à d’autres procédés destinés à pousser les victimes à appeler des centres d’appels ciblés ☎️. Au-delà du support scam, d’autres attaques de phishing Microsoft ont utilisé un fingerprinting agressif des appareils, des tactiques de relais d’authentification multifacteur (MFA) 🔐, ainsi que des livraisons via des invitations d’événements et des fichiers PDF 📄. ...

Selon BleepingComputer, une nouvelle campagne exploite un caractère Unicode pour rendre des liens de phishing visuellement similaires à des URL légitimes de Booking.com. Les attaquants utilisent le caractère japonais hiragana ん, qui peut, sur certains systèmes, s’afficher comme un slash, donnant l’illusion d’une structure d’URL authentique. Cette astuce vise à tromper l’utilisateur au premier coup d’œil 🎣🔤. L’objectif est d’amener les victimes à cliquer sur des liens qui paraissent fiables afin de distribuer des logiciels malveillants. L’usurpation de la marque Booking.com est au cœur de la supercherie. ...

Selon CloudSEK, une escalade massive de menaces cible les infrastructures critiques indiennes, alimentée par des tensions géopolitiques consécutives à l’attentat de Pahalgam. L’analyse met en lumière la convergence d’actions hacktivistes idéologiques et d’opérations étatiques sophistiquées. Volume et cibles : plus de 4 000 incidents documentés visant les secteurs gouvernemental, financier et de la défense. Les vecteurs dominants incluent phishing, vol d’identifiants et faux domaines imitant des services publics. Acteurs et outils : APT36 déploie le malware personnalisé CapraRAT ; APT41 mène des intrusions de chaîne d’approvisionnement et exploite des zero-days ; SideCopy utilise des RAT multiplateformes pour maintenir un accès persistant. ...

Selon Cofense Intelligence (blog Cofense), une analyse des campagnes de livraison de malwares de Q3 2023 à Q3 2024 met en évidence l’usage intensif de la personnalisation des sujets d’e-mails de phishing 🎯 pour augmenter les taux de succès, avec des thèmes dominants Finance, Assistance voyage et Réponse. Principaux constats: les campagnes ciblées livrent des RAT et information stealers pouvant servir d’accès initial pour des opérateurs de ransomware. Les corrélations les plus fortes lient jRAT et Remcos RAT à des sujets/personnalisations orientés Finance (notamment via des noms de fichiers de téléchargement personnalisés). Vidar Stealer est le plus associé aux thèmes Assistance voyage, tandis que PikaBot domine les campagnes à thème Réponse . ...

Source : ReliaQuest — Contexte : Threat Spotlight analysant des campagnes en 2025 où ShinyHunters cible Salesforce, avec des similarités marquées avec Scattered Spider et des recoupements d’infrastructure et de ciblage sectoriel. ReliaQuest décrit le retour de ShinyHunters après une période d’inactivité (2024–2025) via une campagne contre Salesforce touchant des organisations de premier plan, dont Google. Le rapport souligne des TTPs alignés sur Scattered Spider (phishing Okta, vishing, usurpation de domaines, exploitation d’apps connectées Salesforce), nourrissant l’hypothèse d’une collaboration. Des éléments circonstanciels incluent l’alias « Sp1d3rhunters » (Telegram/BreachForums) lié à des fuites passées (p. ex. Ticketmaster) et des chevauchements de ciblage par secteurs (commerce de détail avril–mai 2025, assurance juin–juillet, aviation juin–août). ...

NVISO publie une analyse technique d’un kit de phishing actif, « PoisonSeed », lié à Scattered Spider et CryptoChameleon, qui cible des fournisseurs CRM et d’e-mailing de masse (SendGrid, Mailchimp, Google) en contournant la MFA via des attaques Adversary‑in‑the‑Middle (AitM). L’outil repose sur une infrastructure React et utilise des composants dédiés comme TurnstileChallenge.jsx (vérification de la victime), LoginForm.jsx (capture d’identifiants) et plusieurs modules 2FA (SMS, Email, Authenticator, API Key). Il recourt à des défis Cloudflare Turnstile factices et à un mécanisme de phishing “precision‑validated” qui vérifie côté serveur des paramètres d’e‑mail chiffrés via l’endpoint /api/check-email. ...

Selon Fortinet (FortiMail Workspace Security), une campagne ciblée vise des organisations israéliennes en abusant d’infrastructures email compromises pour diffuser des leurres menant à une fausse page Microsoft Teams. L’objectif est d’amener l’utilisateur à déclencher des commandes PowerShell (« ClickFix ») qui installent un RAT entièrement basé sur PowerShell. 🚨 Nature de l’attaque: des emails de phishing redirigent vers une page Microsoft Teams factice. Le mécanisme « ClickFix » incite l’utilisateur à exécuter des commandes PowerShell encodées en Base64, amorçant une chaîne d’infection multi‑étapes. L’attribution potentielle pointe vers les acteurs MuddyWater, sans confirmation définitive. ...

Selon BleepingComputer, Varonis met en lumière une technique de « phishing natif » où des outils de confiance deviennent des vecteurs d’attaque. Les chercheurs montrent comment des applications Microsoft 365 – notamment OneNote et OneDrive – peuvent être instrumentalisées pour envoyer des leurres internes convaincants. Phishing natif : des attaquants exploitent les outils intégrés de Microsoft 365 pour diffuser des contenus malveillants en interne, évitant ainsi les filtres de sécurité traditionnels. Cette méthode, baptisée native phishing, s’appuie sur la confiance accordée aux applications par défaut et sur l’usage de services légitimes. ...

Contexte: Selon Hunt.io, une campagne coordonnée attribuée à APT Sidewinder cible des organismes gouvernementaux et militaires avec des pages de connexion Zimbra factices. L’acteur mène une campagne de phishing de grande ampleur contre des institutions en Bangladesh, Népal, Turquie et Pakistan, en usurpant l’identité d’agences publiques et de sous-traitants de défense afin de collecter des identifiants. Les pages trompeuses imitent des portails Zimbra et s’appuient sur des services d’hébergement gratuits (Netlify, Pages.dev). 🎯 ...

Selon BleepingComputer, une vulnérabilité de WinRAR identifiée comme CVE-2025-8088, bien que récemment corrigée, a été exploitée en 0‑day dans des campagnes de phishing pour installer le malware RomCom. L’article souligne l’exploitation active d’une faille WinRAR avant sa divulgation publique complète, permettant à des acteurs malveillants d’infecter des victimes via des courriels de phishing. Le point central concerne l’usage de CVE-2025-8088 comme vecteur initial, avec pour charge utile le malware RomCom. La faille est désormais corrigée, mais a servi de 0‑day au moment des attaques. ...