Phishing

Arctic Wolf Labs a publié une analyse technique détaillée sur les campagnes menées par Greedy Sponge, un acteur malveillant motivé par des gains financiers, qui cible les organisations mexicaines depuis 2021. Ces campagnes utilisent une version modifiée du AllaKore RAT, un outil d’accès à distance, pour voler des informations bancaires et des jetons d’authentification. Les attaques sont lancées via des installateurs MSI trojanisés envoyés par phishing, qui déploient des variantes personnalisées d’AllaKore. ...

L’article publié par Ben Nahorney et Brandon Overstreet le 17 juillet 2025, met en lumière une nouvelle technique d’attaque exploitée par le groupe PoisonSeed pour contourner les clés FIDO, un outil de MFA (authentification multifactorielle) réputé pour sa sécurité. PoisonSeed utilise une méthode d’ingénierie sociale pour exploiter la fonctionnalité de connexion multi-appareils des clés FIDO. Cette attaque commence par un phishing où les victimes sont incitées à entrer leurs identifiants sur une fausse page de connexion. Une fois les informations volées, les attaquants demandent une connexion multi-appareils, générant un QR code que l’utilisateur scanne avec son application d’authentification MFA, permettant ainsi aux attaquants d’accéder au compte compromis. ...

L’article publié par HackRead met en lumière une augmentation significative des cyberattaques basées sur l’identité, qui ont grimpé de 156%. Cette hausse est principalement attribuée à la disponibilité de services de phishing à bas coût et à l’utilisation de malwares voleurs d’informations. Les cybercriminels exploitent ces outils pour contourner l’authentification multi-facteurs (MFA), ce qui leur permet de voler des identifiants, d’accéder à des comptes bancaires et de compromettre des emails professionnels. Ces attaques mettent en péril non seulement les individus mais aussi les entreprises qui dépendent de la sécurité de leurs communications électroniques. ...

L’article publié par Bleeping Computer met en lumière une vulnérabilité dans Google Gemini for Workspace, un outil utilisé pour générer des résumés d’emails. Cette vulnérabilité permet aux attaquants de créer des résumés qui semblent légitimes mais qui incluent des instructions malveillantes ou des avertissements. Ces résumés peuvent diriger les utilisateurs vers des sites de phishing sans utiliser de pièces jointes ou de liens directs, rendant la détection plus difficile. Le risque réside dans la capacité des attaquants à manipuler le contenu des emails pour inciter les utilisateurs à effectuer des actions dangereuses. ...

L’article publié par Cofense met en lumière une augmentation de 19 fois des campagnes malveillantes lancées à partir de domaines .es, faisant de ce TLD le troisième le plus utilisé pour ces attaques après .com et .ru. Depuis janvier, 1 373 sous-domaines hébergent des pages web malveillantes sur 447 domaines de base en .es. 99 % de ces campagnes sont axées sur le phishing d’identifiants, tandis que le reste distribue des trojans d’accès à distance (RAT) comme ConnectWise RAT, Dark Crystal et XWorm. ...

Check Point Research met en lumière les activités du groupe de cybermenaces Scattered Spider, connu pour ses attaques par ingénierie sociale et phishing ciblé, qui élargit désormais son champ d’action vers le secteur de l’aviation. Des attaques récentes, notamment une violation de données touchant six millions de clients de Qantas en juillet 2025, ont été attribuées à ce groupe. Les analystes en cybersécurité ont observé des tactiques telles que la fatigue MFA et le vishing, correspondant aux méthodes connues de Scattered Spider. Des incidents similaires chez Hawaiian Airlines et WestJet soulignent l’urgence de traiter les vulnérabilités des fournisseurs tiers liés à l’aviation. ...

Trustwave SpiderLabs a publié une analyse reliant avec une haute confiance le groupe de menaces Blind Eagle, également connu sous le nom de APT-C-36, au fournisseur russe d’hébergement à toute épreuve Proton66. Ce groupe cible activement les organisations en Amérique latine, en mettant un accent particulier sur les institutions financières colombiennes. L’analyse a révélé que Blind Eagle utilise une infrastructure caractérisée par des interconnexions fortes entre plusieurs domaines et clusters d’adresses IP, exploitant des fichiers Visual Basic Script (VBS) comme vecteur d’attaque initial. Ces scripts servent de chargeurs pour des outils de seconde étape, notamment des Trojans d’accès à distance (RATs) disponibles publiquement. ...

L’article publié par ICT Journal met en lumière une menace croissante de phishing en temps réel qui cible spécifiquement les clients des banques cantonales. Ce phénomène est particulièrement préoccupant car il contourne l’authentification à deux facteurs, une mesure de sécurité pourtant de plus en plus répandue. Selon une alerte de l’Office fédéral de la cybersécurité (OFCS), les cybercriminels ont intensifié leurs efforts pour tromper les utilisateurs. Cette méthode sophistiquée de phishing permet aux attaquants de capturer les informations d’authentification en temps réel, rendant les mesures de sécurité traditionnelles moins efficaces. ...

L’actualité provient d’une analyse de sécurité par Okta concernant l’utilisation d’outils d’IA pour créer des sites de phishing. Okta a observé l’utilisation d’un outil d’IA, v0.dev, pour construire des sites de phishing hébergés sur l’infrastructure de Vercel. Les acteurs malveillants hébergent souvent tous les éléments d’un site de phishing sur une plateforme de confiance pour rendre le site plus légitime et échapper à la détection. Vercel a pris des mesures pour restreindre l’accès aux sites de phishing identifiés et collabore avec Okta pour signaler d’autres infrastructures de phishing. Cette activité montre que les acteurs de la menace expérimentent et utilisent des outils d’IA générative pour améliorer leurs capacités de phishing. ...

L’article de Silent Push, publié le 2 juillet 2025, révèle les détails d’une campagne de phishing orchestrée par un groupe de menaces, soupçonné d’être basé en Chine, visant à usurper l’identité de marques de commerce électronique bien connues. Les analystes de Silent Push ont découvert cette campagne après avoir suivi une piste fournie par le journaliste mexicain Ignacio Gómez Villaseñor. Initialement ciblant l’événement de vente ‘Hot Sale 2025’ au Mexique, la campagne s’est avérée être bien plus vaste, visant un public mondial avec des sites en anglais et en espagnol. Les sites frauduleux imitent des marques telles que Apple, Harbor Freight Tools, Michael Kors, REI, Wayfair, et Wrangler Jeans. ...