Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

Breaking news :
Scattered Spider détourne VMware ESXi pour des attaques de ransomware à grande échelle
CastleLoader : une vaste campagne de malwares vise près de 500 organisations dans le monde
Une porte dérobée furtive déployée via un serveur Redis piraté pour échapper aux systèmes de détection

Les nouvelles campagnes de phishing utilisent la vérification en temps réel pour maximiser leur efficacité

Introduction

Les cybercriminels innovent constamment pour contourner les défenses des entreprises et des utilisateurs. Une récente série de campagnes de phishing, analysée par les chercheurs de Cofense, démontre comment les attaquants affinent leurs techniques pour rendre leurs attaques plus efficaces, plus discrètes et plus difficiles à détecter. Contrairement aux approches traditionnelles de phishing de masse, ces nouvelles campagnes adoptent une approche dite de « validation en temps réel », permettant aux attaquants de s’assurer que seuls des utilisateurs réels et actifs sont ciblés. Cette tactique améliore considérablement le taux de réussite tout en contournant les systèmes de détection automatisés.

Fonctionnement de la validation dynamique des cibles

Au cœur de cette méthode se trouve un mécanisme de filtrage sophistiqué. Lorsqu’un utilisateur clique sur un lien piégé et arrive sur une fausse page d’authentification, il est invité à entrer son adresse e-mail. C’est à ce moment précis qu’un script ou un appel API est déclenché pour vérifier si l’adresse saisie figure dans une base de données d’adresses préalablement collectées par les attaquants.

  • Si l’adresse est identifiée comme valide et présente dans la liste, le site malveillant continue le processus et affiche une fausse page de connexion, souvent imitant fidèlement celle de Microsoft 365, Google Workspace ou d’autres services professionnels.

  • Si l’adresse ne figure pas dans la liste, l’utilisateur est redirigé vers un site parfaitement légitime tel que Wikipedia, Adobe, ou une page d’accueil neutre. Cette redirection vise à éviter les suspicions tout en limitant les risques de détection par des solutions automatisées de sécurité, notamment les sandboxes et les outils d’analyse comportementale.

Cette approche permet aux cybercriminels d’éliminer les faux positifs, d’éviter de gaspiller leurs ressources et de minimiser le bruit susceptible d’alerter les solutions de sécurité ou les analystes SOC.

Exemple d’attaque hybride : phishing et malware combinés

L’un des cas étudiés par Cofense démontre l’utilisation conjointe du phishing et du malware via un leurre de type PDF. Le scénario typique commence par un faux message d’alerte informant l’utilisateur que des fichiers PDF ont été supprimés de son compte. Ce message inclut un lien vers un service de partage de fichiers (par exemple files.fm), incitant l’utilisateur à consulter le document.

Deux chemins peuvent alors être empruntés par la victime :

  1. Consultation du fichier : en cliquant sur un aperçu en ligne, l’utilisateur est dirigé vers une fausse page de connexion, usurpant celle de Microsoft. S’il entre ses identifiants, ceux-ci sont directement capturés par les attaquants.

  2. Téléchargement du fichier : l’utilisateur reçoit un fichier exécutable déguisé en document légitime. Lors de l’exécution, un outil d’accès à distance tel que ScreenConnect est installé, donnant un accès total au poste compromis.

Cette attaque multi-vectorielle permet aux attaquants de compromettre à la fois les identifiants et les systèmes, facilitant une prise de contrôle complète des environnements ciblés.

Tactiques d’évasion et sophistication des attaques

Une caractéristique essentielle de ces campagnes réside dans leur capacité à éviter la détection. En redirigeant les adresses non valides vers des sites fiables, les attaquants neutralisent les outils de sécurité automatisés comme les crawlers, les outils d’URL rewriting, ou les navigateurs sans tête utilisés pour analyser les comportements malveillants.

Par ailleurs, certaines campagnes ont été observées en conjonction avec d’autres tactiques comme :

  • L’ingénierie sociale par téléphone (vishing)

  • L’utilisation d’outils d’assistance à distance tels que Quick Assist

  • L’exploitation de PowerShell via des canaux légitimes comme Microsoft Teams

  • Le déploiement de backdoors basés sur JavaScript et Node.js

Ces techniques sont souvent attribuées à des groupes organisés comme Storm-1811, qui combinent plusieurs vecteurs pour augmenter les chances de succès de l’attaque et en prolonger la durée.

Enjeux de sécurité accrus pour les entreprises

Ce type de phishing ciblé représente une menace significative pour les organisations, car il repose sur une logique d’optimisation offensive. En ne ciblant que des comptes valides, les attaquants augmentent leurs taux de compromission tout en évitant de se faire remarquer. Le niveau de personnalisation et la coordination entre les différents vecteurs d’attaque illustrent un glissement vers des approches de plus en plus professionnelles, souvent proches de l’espionnage industriel ou de la compromission stratégique.

Les entreprises dont les systèmes de sauvegarde, les accès à distance ou les identifiants cloud sont exposés courent un risque accru, surtout si les mesures de segmentation, de journalisation ou d’authentification forte ne sont pas correctement mises en œuvre.

Recommandations pour se protéger

Face à cette montée en sophistication, les mesures de cybersécurité traditionnelles doivent être renforcées par des approches centrées sur le comportement et la réactivité humaine. Voici les actions prioritaires recommandées :

  1. Mettre en place une authentification multifactorielle (MFA) sur tous les services accessibles depuis Internet, en particulier les comptes cloud et les outils de collaboration.

  2. Surveiller les journaux d’accès et les redirections inhabituelles, notamment celles impliquant des domaines externes et des pages d’apparence anodine.

  3. Former régulièrement les employés à repérer les signes d’un phishing avancé : messages urgents, redirections subtiles, pages de connexion inattendues, etc.

  4. Implémenter des outils de protection contre les scripts malveillants sur les navigateurs d’entreprise, et privilégier les solutions capables de détecter les vérifications de type “en temps réel”.

  5. Isoler les accès à distance et interdire les outils non validés par la DSI, comme certains logiciels d’assistance pouvant être détournés.

  6. Effectuer des audits de sécurité réguliers sur les configurations de messagerie, les règles de redirection et les systèmes de filtrage de liens.

Conclusion

Le phishing évolue rapidement, passant de campagnes génériques et grossières à des attaques ultra-ciblées, silencieuses et coordonnées. La validation dynamique des cibles, combinée à des techniques de contournement avancées, annonce une nouvelle génération de menaces où chaque interaction est optimisée pour tromper les utilisateurs tout en échappant à la détection. Seule une approche proactive, mêlant technologie, formation et intelligence comportementale, permettra de résister à ces attaques de nouvelle génération.

cybersecurite.com
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.