Phishing

BleepingComputer rapporte une alerte de sécurité concernant une campagne de phishing ciblant les utilisateurs de Trezor, un fournisseur de portefeuilles de cryptomonnaies. Cette campagne utilise le système de support automatisé de Trezor pour envoyer des emails frauduleux depuis la plateforme officielle. Les attaquants abusent de la confiance des utilisateurs en exploitant l’infrastructure légitime de Trezor pour rendre leurs communications plus crédibles. Ces emails contiennent des liens ou des pièces jointes malveillantes destinées à voler des informations sensibles ou à compromettre les comptes des utilisateurs. ...

Dans un article publié par mr.d0x, une nouvelle méthode de phishing appelée FileFix est présentée comme une alternative à l’attaque ClickFix. Cette technique exploite la fonctionnalité de téléchargement de fichiers des navigateurs pour exécuter des commandes système sans quitter le navigateur. La méthode FileFix utilise la barre d’adresse de l’explorateur de fichiers pour exécuter des commandes OS. Le processus implique de tromper l’utilisateur en lui faisant croire qu’un fichier lui a été partagé et en l’incitant à coller une commande malveillante dans la barre d’adresse de l’explorateur de fichiers. ...

L’actualité rapportée par Coindesk met en lumière une attaque ciblant CoinMarketCap, un site populaire de suivi des crypto-monnaies. Des hackers ont exploité une vulnérabilité dans le système front-end de CoinMarketCap en utilisant une image de doodle apparemment inoffensive pour injecter du code malveillant. Ce code a déclenché des pop-ups de vérification de portefeuille factices sur l’ensemble du site, incitant les utilisateurs à “Vérifier le portefeuille” dans le cadre d’une tactique de phishing visant à accéder à leurs avoirs en crypto-monnaies. ...

L’article publié par Securonix Threat Research met en lumière une campagne de malware sophistiquée appelée SERPENTINE#CLOUD. Cette campagne utilise les tunnels Cloudflare pour diffuser des charges utiles malveillantes. Les attaquants emploient des fichiers .lnk pour initier la chaîne d’infection, se terminant par un chargeur shellcode basé sur Python. Les fichiers de raccourci (.lnk) sont envoyés via des e-mails de phishing, souvent déguisés en documents liés à des arnaques de paiement ou de factures. Une fois exécutés, ces fichiers déclenchent une séquence d’infection complexe utilisant des scripts batch, VBScript et Python, pour finalement déployer un payload PE emballé par Donut en mémoire. ...

L’article publié le 20 juin 2025 explore les activités d’un acteur de menace connu sous le nom de Tinker, qui a rejoint le groupe de ransomware Black Basta en tant que directeur créatif en 2023. Ce rôle atypique pour un groupe de ransomware souligne l’importance des compétences de Tinker en matière de génération d’idées originales. Tinker a joué un rôle crucial dans le fonctionnement à grande échelle de Black Basta. Ses compétences incluaient l’exploitation de centres d’appels, la rédaction de contenu pour des campagnes de phishing, et l’utilisation de la coercition pour faire pression sur les victimes de ransomware. Ces capacités ont permis à Black Basta d’améliorer l’efficacité de leurs opérations malveillantes. ...

Selon un article de Bleeping Computer, des publicités Instagram se font passer pour des institutions financières telles que la Bank of Montreal (BMO) et EQ Bank (Equitable Bank) afin de piéger les consommateurs canadiens avec des arnaques de phishing et des fraudes à l’investissement. Certaines de ces publicités utilisent des vidéos deepfake alimentées par l’IA pour tenter de récolter des informations personnelles des utilisateurs. D’autres redirigent le trafic vers des pages de phishing, visant à tromper les victimes en leur faisant croire qu’elles interagissent avec des sites légitimes. ...

Selon un article publié par Bleeping Computer, des cybercriminels exploitent des liens d’invitation Discord expirés ou supprimés pour rediriger les utilisateurs vers des sites malveillants. Cette méthode permet aux attaquants de distribuer des chevaux de Troie d’accès à distance (RAT) et des logiciels malveillants conçus pour voler des informations sensibles. Les liens Discord sont couramment utilisés pour inviter des utilisateurs à rejoindre des serveurs. Cependant, lorsque ces liens expirent ou sont supprimés, des acteurs malveillants peuvent les enregistrer à nouveau et les utiliser pour des attaques de phishing ou pour diffuser des logiciels malveillants. ...

L’article publié par le Threat Research Center de Palo Alto Networks explore une campagne de compromission de sites web légitimes à l’aide de code JavaScript obfusqué, surnommé JSFireTruck. Cette campagne utilise une technique d’obfuscation JavaScript appelée JSF*ck, renommée JSFireTruck pour éviter la vulgarité. Les attaquants injectent ce code dans des sites web pour rediriger les utilisateurs vers des pages malveillantes, exploitant des moteurs de recherche comme vecteurs de redirection. Plus de 269 000 pages ont été infectées entre mars et avril 2025, révélant l’ampleur de l’attaque. ...

L’article de SecuritySnacks, publié le 10 juin 2025, met en lumière les activités du groupe de cybercriminalité FIN6, également connu sous le nom de Skeleton Spider. Ce groupe est connu pour ses attaques motivées par des gains financiers et a évolué vers des menaces d’entreprise plus larges, y compris des opérations de ransomware. FIN6 a perfectionné ses campagnes de phishing en exploitant la confiance professionnelle. En se faisant passer pour des chercheurs d’emploi sur des plateformes comme LinkedIn, ils établissent un lien de confiance avec les recruteurs avant d’envoyer des messages de phishing menant à des malwares. Leur charge utile préférée est more_eggs, un backdoor en JavaScript qui facilite le vol de données d’identification et l’accès aux systèmes. ...

L’article de Praetorian met en lumière une nouvelle technique de phishing exploitant le flux de code d’appareil OAuth2 de GitHub pour accéder aux comptes des utilisateurs et potentiellement compromettre la chaîne d’approvisionnement des organisations. GitHub Device Code Phishing est une évolution des attaques similaires menées contre les environnements Microsoft. Les attaquants génèrent un code d’appareil via l’API OAuth de GitHub, puis utilisent des techniques de social engineering pour inciter les utilisateurs à autoriser l’accès, leur permettant ainsi de récupérer un jeton OAuth. ...