Social Engineering

Source: Mandiant Threat Defense — Publication de recherche détaillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au déploiement du backdoor CORNFLAKE.V3. Le groupe UNC5518 utilise des pages CAPTCHA factices pour piéger les utilisateurs et fournir l’accès initial à d’autres acteurs. Cet accès est ensuite exploité par UNC5774 pour installer CORNFLAKE.V3, une porte dérobée disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exécution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors. ...

BleepingComputer rapporte que le géant des RH Workday a divulgué une fuite de données liée à un fournisseur CRM tiers (Salesforce?), à la suite d’une attaque de social engineering. — L’essentiel Type d’attaque : social engineering Vecteur : accès non autorisé à une plateforme CRM tierce Impact : divulgation d’une fuite de données Organisation concernée : Workday (secteur RH) — Détails connus Selon l’annonce, des attaquants ont obtenu un accès au CRM d’un tiers utilisé par Workday, ce qui a conduit l’entreprise à déclarer une violation de données. L’incident est attribué à une manipulation sociale récente. ...

Contexte — Source : Trustwave SpiderLabs. Le billet détaille une campagne avancée d’EncryptHub combinant ingénierie sociale, exploitation de vulnérabilité et nouveaux outils malveillants pour compromettre des cibles à l’échelle mondiale. • Portée et mode opératoire. Les attaquants se font passer pour le support IT via Microsoft Teams afin d’établir un accès à distance, puis hébergent des contenus malveillants sur la plateforme Brave Support. La campagne a compromis 618 organisations dans le monde et s’appuie sur des outils Golang comme le chargeur SilentCrystal et des backdoors proxy SOCKS5. Les opérateurs utilisent également de fausses plateformes de visioconférence et des structures de commande chiffrées pour la persistance et le contrôle. ...

L’analyse publiée par Unit 42 de Palo Alto Networks met en lumière les raisons pour lesquelles le groupe de menace Muddled Libra attire une attention médiatique significative par rapport à d’autres affiliés de ransomware-as-a-service. Leur playbook distinctif inclut des tactiques de social engineering sophistiquées, des vagues de ciblage spécifiques à l’industrie, et une maîtrise de l’anglais natif dans les attaques de vishing. Ces éléments contribuent à leur taux de succès élevé, avec 50% des cas récents aboutissant au déploiement du ransomware DragonForce et à l’exfiltration de données. ...

Les chercheurs de Lookout ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée DCHSpy, attribuée au groupe de menaces iranien Static Kitten. Cette campagne cible spécifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuées via des campagnes de phishing. DCHSpy est actif depuis octobre 2023, en plein conflit régional, et est conçu pour exfiltrer des données sensibles telles que les messages WhatsApp, les données de localisation, les photos et les journaux d’appels. Le malware exploite des tactiques d’ingénierie sociale et tire parti de la demande d’accès Internet non censuré en Iran. ...

L’article publié par KrebsOnSecurity révèle une opération criminelle sophistiquée impliquant plus de 1 200 sites de jeux frauduleux. Ces sites utilisent des publicités sur les réseaux sociaux et de fausses recommandations de célébrités pour attirer les victimes. Les sites proposent des interfaces de jeu soignées avec des crédits fictifs de 2 500 $, mais exigent des dépôts de vérification qui ne sont jamais remboursés. Cette opération est une variante des arnaques de type ‘pig butchering’, optimisée pour un volume élevé plutôt que pour cibler des victimes individuelles. ...

L’article publié le 25 juillet 2025 par Varonis met en lumière une campagne de vishing sophistiquée menée par le groupe de menaces UNC6040, identifiée par le Threat Intelligence Group de Google. Ce groupe, motivé par des gains financiers, cible les environnements Salesforce pour voler des données et pratiquer l’extorsion. UNC6040 utilise une méthodologie d’attaque en plusieurs étapes, débutant par des reconnaissances via des systèmes téléphoniques automatisés et des appels en direct où ils se font passer pour le support IT. Les victimes sont incitées à installer des versions modifiées du Salesforce Data Loader, déguisées en outils légitimes comme ‘My Ticket Portal’, permettant ainsi aux attaquants d’obtenir un accès non autorisé aux données sensibles. ...

La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon. Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord. ...

Zscaler ThreatLabz a publié un rapport détaillant deux campagnes APT sophistiquées, nommées Operation GhostChat et Operation PhantomPrayers, qui ciblent la communauté tibétaine à l’occasion du 90e anniversaire du Dalaï Lama. Les acteurs de menace liés à la Chine ont compromis des sites web légitimes et ont utilisé des techniques de social engineering pour distribuer des applications vérolées contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaînes d’infection multi-étapes sophistiquées, exploitant des vulnérabilités de DLL sideloading, des injections de code, et des charges utiles chiffrées. ...

Les chercheurs de Cofense ont identifié une campagne de phishing sophistiquée qui imite des problèmes de connexion à des réunions Zoom pour voler les identifiants des utilisateurs. L’attaque utilise des emails jouant sur l’urgence, prétendant qu’une réunion d’urgence est nécessaire, et redirige les utilisateurs via plusieurs URL de suivi vers une fausse interface Zoom. Les identifiants sont récoltés lorsque les victimes tentent de « rejoindre » à nouveau la réunion. ...