TTP

Source et contexte: Microsoft Security Blog (Microsoft Defender Security Research) décrit des campagnes de phishing exploitant le mécanisme standard de redirection d’OAuth afin de contourner les défenses et livrer des malwares, avec des cibles incluant des organisations gouvernementales et du secteur public. Résumé de la technique: Des applications OAuth malveillantes, créées dans des tenants contrôlés par l’attaquant, déclarent des URI de redirection pointant vers des domaines malveillants. Des emails de phishing intègrent des URLs OAuth (Microsoft Entra ID/Google) manipulant notamment prompt=none et des scopes invalides pour provoquer un échec d’autorisation et une redirection d’erreur vers l’infrastructure de l’attaquant, sans vol de jetons. Le paramètre state est détourné pour transporter l’email de la victime (en clair, hex, Base64, schémas custom), et des cadres de phishing tels qu’EvilProxy sont utilisés après redirection. Les leurres incluent e-signatures, sécurité sociale, finances, politique, ainsi que PDF ou faux .ics de calendrier. ...

Source et contexte: Microsoft Threat Intelligence (microsoft.com) publie une analyse technique approfondie de Tycoon2FA, un kit de phishing‑as‑a‑service (PhaaS) opéré par l’acteur Storm‑1747, apparu en août 2023 et utilisé dans des campagnes diffusant des dizaines de millions de messages chaque mois vers plus de 500 000 organisations. • Portée et capacités: Tycoon2FA fournit des fonctions Adversary‑in‑the‑Middle (AiTM) permettant de bypasser la MFA en interceptant les identifiants et cookies de session lors de l’authentification, puis en relayant les codes MFA via des proxys. Il mime des pages de connexion de Microsoft 365, Outlook, OneDrive, SharePoint, Gmail, etc., et peut maintenir l’accès même après un reset de mot de passe si les sessions/tokens ne sont pas révoqués. ...

Source: DomainTools Investigations (DTI). Contexte: publication d’une analyse détaillée (04/03/2026) du réseau Doppelgänger / RRN actif depuis 2022, avec collaboration de Google Threat Intelligence et AWS Threat Intelligence. L’étude présente une architecture d’influence industrielle, centrée sur l’usurpation de marques médias à grande échelle et ancrée autour du hub narratif RRN (Reliable Recent News). Le réseau est conçu pour la résilience et la scalabilité, privilégie des TLD à faible coût/scrutin et s’appuie sur une infrastructure cloud (CDN fronting) afin d’assurer la continuité opérationnelle malgré les saisies. ...

Selon Malwarebytes, une campagne d’ingénierie sociale imite une page « Google Account Security » pour pousser les victimes à installer un PWA et, pour celles qui obéissent à tous les prompts, un APK Android déguisé en mise à jour critique; l’infrastructure C2 s’appuie sur le domaine google-prism[.]com, routé via Cloudflare. Le flux web en 4 étapes demande l’« installation » du PWA (masquant la barre d’adresse), l’autorisation de notifications push, la sélection et l’envoi de contacts via le Contact Picker API, puis l’accès à la position GPS (latitude, longitude, altitude, cap, vitesse). Une fois installé, le script de page lit le presse-papiers lors des événements de focus/visibilité, tente d’intercepter les SMS via WebOTP, dresse une empreinte détaillée du device et effectue un heartbeat toutes les 30 s. ...

Source: Datadog (analyse technique signée par Martin McCloskey). L’article retrace l’évolution du kit de phishing 1Phish (sept. 2025 → fév. 2026) qui cible les utilisateurs de 1Password via des domaines typosquattés et des emails à thème « compromission », passant d’un collecteur basique d’identifiants à une plateforme multi‑étapes compatible MFA, avec anti‑analyse et gestion de session. • Évolution par versions. V1 (sept. 2025) est une page HTML légère (~258 lignes) récoltant email, clé secrète et mot de passe, sans MFA ni fingerprinting. V2 (sept.–oct. 2025) ajoute validation côté client, Cloudflare challenges, fingerprinting (canvas, WebGL, plugins, dimensions), et l’intégration de HideClick pour cloaking/filtrage des bots. V3 (oct. 2025–fév. 2026) introduit un workflow multi‑étapes, une porte de validation pré‑phishing (/validate), la capture d’OTP/2FA (POST /submit-2fa) et une double collecte de mots de passe (ancien/nouveau). V4 (fév. 2026) bascule vers une architecture REST avec gestion de session, ciblage entreprise/équipe (sous‑domaine d’entreprise), sélection de région, internationalisation, collecte de codes de récupération 1PRK, obfuscation JS et bot scoring actif (/api/validate-access). ...

Selon une analyse de Neil Lofland publiée le 2 mars 2026, une campagne mondiale de distribution de malware abuse de la confiance des utilisateurs via des sites WordPress compromis et une imitation de vérification Cloudflare afin d’installer AMOS (Atomic macOS Stealer) sur macOS. • L’attaque s’appuie sur un Traffic Delivery System (TDS) ultra-sélectif qui masque l’injection aux scanners, VPN, datacenters et outils d’analyse. L’accès malveillant est servi uniquement aux visiteurs “grand public” (IP résidentielles, empreintes navigateur cohérentes), rendant la compromission quasi invisible aux contrôles automatisés. ...

Selon kmsec-uk, un suivi continu des dépôts npm a détecté entre le 25 et le 26 février 2026 dix-sept nouveaux paquets malveillants embarquant un chargeur inédit recourant à Pastebin et à une stéganographie textuelle, une évolution attribuée aux tests rapides de FAMOUS CHOLLIMA (DPRK). L’attaque s’appuie sur un script d’installation npm (node ./scripts/test/install.js) qui sert de leurre et exécute un JavaScript malveillant unique placé sous vendor/scrypt-js/version.js. Ce composant contacte trois pastes Pastebin en séquence, dont le premier valide interrompt la boucle. Le contenu des pastes, en apparence bénin mais truffé de fautes subtiles, est décodé via une stéganographie textuelle sur mesure pour produire une liste d’hôtes C2 sur Vercel. ...

Selon un billet de blog technique signé « Kirk » (28 février 2026), une campagne active détourne archive.org comme plateforme de distribution en dissimulant des injecteurs .NET dans des images JPEG 4K via stéganographie, afin de livrer en parallèle les RATs Remcos 7.1.0 Pro et AsyncRAT 1.0.7. — Contexte et technique de stéganographie 🧪 — Les images (3840x2160) contiennent un bloc base64 de DLL .NET placé après le marqueur EOF JPEG (FF D9) à l’offset 1 390 750, encadré par des marqueurs qui ont évolué de BaseStart/-BaseEnd (24 fév.) à IN-/==-in1 (25–28 fév.). Un dropper PowerShell télécharge l’image (WebClient.DownloadData), extrait le bloc par regex, puis charge l’assembly en mémoire ([Reflection.Assembly]::Load). Les DLL injectées se font passer pour Microsoft.Win32.TaskScheduler.dll et embarquent l’injecteur Mandark (RunPE), avec un durcissement croissant (ConfuserEx, ressources chiffrées, RSA-1024, obfuscation). ...

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows. ...

Selon Check Point Research (CPR), publié le 25 février 2026, des vulnérabilités critiques dans l’outil développeur Claude Code d’Anthropic permettent une exécution de code à distance (RCE) et l’exfiltration de clés API via des fichiers de configuration de projet; Anthropic a collaboré avec CPR et a corrigé toutes les failles avant publication. 🛡️ • Contexte: Claude Code, un outil CLI agentique, prend en charge la modification de fichiers, Git, tests, intégration MCP et exécution de commandes. Sa configuration est pilotée par dépôt via .claude/settings.json et .mcp.json, exposant une nouvelle surface d’attaque lorsque des dépôts non fiables sont clonés. ...