Phishing

Selon BleepingComputer, des attaquants abusent des invitations iCloud Calendar pour expédier des emails de phishing “callback” déguisés en notifications d’achat, en s’appuyant sur les serveurs d’email d’Apple afin d’augmenter les chances de contournement des filtres anti-spam et d’atteindre la boîte de réception des cibles. Ces envois prennent la forme d’invitations de calendrier iCloud, qui arrivent sous couvert de notifications légitimes et miment des achats afin d’inciter les victimes à appeler un numéro (callback) ou à interagir. ...

Selon Cato Networks, une campagne de phishing a abusé de l’infrastructure légitime de Simplified AI pour dérober des identifiants Microsoft 365, en combinant usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial et pièces jointes PDF protégées par mot de passe. Le mode opératoire s’est déroulé en quatre étapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protégé, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpé, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de légitimité, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hébergé sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev. ...

Selon Check Point Research, ce bulletin de threat intelligence (1er septembre 2025) signale une escalade des menaces avec des zero-days activement exploités et des fuites massives de données touchant des millions d’individus. Il met l’accent sur l’urgence de corriger les vulnérabilités divulguées et de renforcer les capacités de réponse à incident. Faits saillants: exploitation de zero-days dans WhatsApp et Citrix NetScaler lors d’attaques ciblées, campagnes ransomware menées par le groupe Qilin, et une opération de phishing sophistiquée baptisée ZipLine visant des infrastructures critiques. La campagne ZipLine exploite l’infrastructure Google Classroom pour contourner la supervision en entreprise et a diffusé plus de 115 000 emails à 13 500 organisations dans le monde. ...

Selon Nextron Systems, une campagne sophistiquée attribuée à APT36, rappelant les tactiques d’Operation Sindoor, vise des organisations indiennes via des pièces jointes .desktop piégées se faisant passer pour des PDF, afin de prendre le contrôle à distance de systèmes Linux. • Nature de l’attaque 🎣: des e‑mails de spear‑phishing livrent des fichiers .desktop malveillants qui déclenchent une infection en plusieurs étapes, aboutissant à l’installation de MeshAgent pour un accès à distance complet, la surveillance et l’exfiltration de données. ...

Source et contexte: Rapport de PIXM Security (Chris Cleveland) couvrant la fin août, décrivant une hausse record de campagnes de phishing ciblant des utilisateurs et administrateurs aux États‑Unis, avec abus d’infrastructures Cloudflare, Azure et Hostinger et un focus sur l’évasion des détections. • Panorama des attaques 🎣 Plusieurs vagues ont ciblé des services Microsoft, Adobe Cloud et Paperless Post, ainsi que des comptes personnels (Yahoo, Amazon) utilisés sur des appareils professionnels. Des arnaques de support Microsoft et des kits de relais MFA ont été observés, avec des pages adaptées par géolocalisation IP et paramètres d’URL pour router les victimes vers des centres d’appels distincts. ...

Source et contexte: BforeAI (PreCrime Labs) publie en août 2025 une analyse des domaines récemment enregistrés autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une préparation active d’infrastructures frauduleuses. • Volume et temporalité: 498 domaines analysés, avec un pic de 299 enregistrements du 8 au 12 août 2025. Les acteurs réutilisent d’anciens domaines ou enregistrent tôt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1). ...

Selon un article de la Thurgauer Zeitung, les écoles de Frauenfeld ont récemment été la cible d’un phishing sophistiqué, orchestré depuis l’étranger. Des courriels frauduleux, envoyés au nom d’un employé, invitaient les destinataires à cliquer sur un lien pour accéder à un document prétendument partagé. Grâce à la vigilance du collaborateur touché et à l’intervention rapide de l’équipe IT, la propagation a pu être stoppée avant tout vol de données sensibles. ...

Source: Cybersecuritynews.com — Le 28 août 2025, des chercheurs rapportent une nouvelle campagne de phishing identifiée par le chercheur JAMESWT, qui abuse du caractère hiragana « ん » (U+3093) pour imiter visuellement la barre oblique « / » et fabriquer des URLs quasi indiscernables, ciblant des clients de Booking.com. 🎣 Type d’attaque: phishing avec homographes Unicode. La technique remplace « / » par « ん » (U+3093), qui ressemble visuellement à une barre oblique dans certains contextes d’affichage. Résultat: des chemins d’URL paraissent légitimes alors que la destination réelle pointe vers un autre domaine. ...

Selon le blog de Check Point, une campagne active de phishing a exploité l’infrastructure de Google Classroom pour diffuser plus de 115 000 emails entre le 6 et le 12 août 2025, visant 13 500 organisations à travers plusieurs régions. Vecteur : Abus de Google Classroom via de fausses invitations à rejoindre des classes, contenant des offres commerciales sans rapport (revente de produits, services SEO). 🎓 Appel à l’action : Redirection vers un numéro WhatsApp afin de déplacer l’échange hors des canaux surveillés par l’entreprise. 📱 Portée : 5 vagues coordonnées en une semaine, ciblant des organisations en Europe, Amérique du Nord, Moyen-Orient et Asie. Objectif tactique : Tirer parti de la confiance accordée aux services Google pour contourner des filtres basés sur la réputation de l’expéditeur. Check Point indique que Harmony Email & Collaboration (SmartPhish) a détecté et bloqué la majorité des tentatives, et que des couches additionnelles ont empêché le reste d’atteindre les utilisateurs finaux. L’éditeur souligne l’augmentation de l’armement de services cloud légitimes, rendant insuffisants certains passerelles email traditionnelles face aux techniques évolutives de phishing. ...

Source: malwr-analysis.com (24–25 août 2025). Contexte: un chercheur décrit une évolution d’une chaîne de phishing Gmail où les attaquants ciblent à la fois les utilisateurs et les défenses automatisées, en insérant un texte d’« injection de prompt » dans la section MIME en clair pour distraire/perturber l’analyse par IA. Leurres et chaîne de livraison 🚨: l’email de phishing imite un avis d’expiration de mot de passe (sujet: « Login Expiry Notice 8/20/2025 4:56:21 p.m. »), envoyé via SendGrid avec SPF/DKIM OK mais DMARC en échec, ce qui a permis de franchir certains filtres. La campagne abuse Microsoft Dynamics pour une redirection de mise en scène, puis bascule vers un domaine attaquant avec captcha (empêchant crawlers/sandboxes) avant la page principale de phishing brandée Gmail. Le kit effectue une requête GeoIP pour profiler l’utilisateur et un beacon télémétrique pour distinguer humains et bots. ...