Campagnes de phishing sur le thème fiscal augmentent le risque de malware dans les entreprises, selon une alerte de Microsoft.

Campagnes de phishing sur le thème fiscal augmentent le risque de malware dans les entreprises, selon une alerte de Microsoft.
Share on Pinterest Share on LinkedIn

Alerte de cybersécurité : Microsoft détecte une nouvelle vague d’attaques sophistiquées visant des organisations américaines

Microsoft a émis une alerte de cybersécurité importante, ciblant principalement les organisations américaines en pleine période de déclarations fiscales. Diverses campagnes de phishing avancées sont utilisées pour propager des malwares hautement sophistiqués, combinant des fichiers PDF, des codes QR et des services tiers apparemment fiables, tels que DocuSign et Dropbox.

Ces attaques visent à dérober des identifiants, installer des portes dérobées et infiltrer silencieusement les réseaux d’entreprise. Les analystes de Microsoft ont identifié le groupe Storm-0249 comme l’un des principaux responsables, connu pour utiliser des chevaux de Troie tels que Latrodectus, Remcos RAT, GuLoader et BruteRatel C4, ainsi que de nouveaux outils d’après-exploitation comme AHKBot.

Phishing en tant que service et techniques d’évasion

Les campagnes exploitent des plateformes de Phishing-as-a-Service (PhaaS) comme RaccoonO365, permettant la création de faux sites imitant l’environnement de connexion de Microsoft 365 pour capturer des identifiants d’entreprises. L’un des incidents documentés par Microsoft, daté du 6 février 2025, décrit une chaîne d’infection initiée par un fichier PDF redirigeant l’utilisateur vers une URL abrégée, où il se retrouve sur une fausse page DocuSign. Selon le système d’exploitation et l’adresse IP, un fichier JavaScript peut être délivré, téléchargeant BRc4, la porte d’entrée pour Latrodectus.

Entre le 12 et le 28 février, plus de 2 300 courriels malveillants, sans corps de texte, ont été envoyés, contenant des fichiers PDF intégrant des codes QR malveillants. Ces derniers dirigeaient vers des liens de phishing imitant Microsoft 365, touchant particulièrement les secteurs de la consultance, des technologies de l’information et de l’ingénierie.

Multicouche d’infection : de fichiers ZIP à des macros Excel

Outre les PDF, les acteurs malveillants utilisent des fichiers .lnk cachés dans des ZIP et des documents Excel avec des macros malicieuses. Un exemple détecté implique des macros pour télécharger et exécuter des scripts AutoHotKey, qui à leur tour lancent des modules de capture d’écran et d’exfiltration de données.

Des liens cachés dans des fichiers SVG et des URLs redirigées à travers des services comme Rebrandly ont également été repérés, permettant d’échapper à de nombreux filtres anti-phishing traditionnels. Ces méthodes visent à dissimuler l’URL finale des sites malveillants, compliquant leur détection par les systèmes de sécurité.

Ingéniosité criminelle et exploitation de plateformes légitimes

Les hackers exploitent des services de collaboration largement utilisés, tels que Adobe, DocuSign, Canva, Zoho ou Dropbox, rendant les courriels malveillants difficilement détectables par les passerelles de courriels (SEG).

Une analyse de Palo Alto Networks révèle que des codes QR sont souvent utilisés dans des campagnes ciblant l’Europe et les États-Unis, où les attaquants évitent d’afficher directement l’URL malveillante, privilégiant des mécanismes de redirection ouverts via des sites de confiance.

Microsoft a également constaté que même des plateformes comme Facebook ont été utilisées pour rediriger le trafic vers de fausses pages proposant des installateurs de Windows 11, qui en réalité distribuent Latrodectus ou Gh0st RAT, selon des recherches récentes.

Conséquences et mesures de protection recommandées

Ces attaques visent non seulement à voler des mots de passe, mais aussi à maintenir une présence persistante, se déplacer latéralement dans les réseaux d’entreprise et préparer le terrain pour de futures intrusions. L’utilisation de tâches programmées, d’exécution de commandes à distance et de collecte d’identifiants est de plus en plus courante dans ces campagnes.

Microsoft recommande de mettre en œuvre une authentification multifactorielle (MFA) résistant au phishing, de filtrer le trafic sortant vers des domaines suspects, d’utiliser des navigateurs sécurisés et de former les utilisateurs à identifier les tentatives de spoofing.

Cette nouvelle vague d’attaques souligne que la cybersécurité dans les environnements d’entreprise ne peut plus se reposer uniquement sur des filtres traditionnels. L’intersection entre plateformes légitimes et outils criminels exige une défense intégrale, où chaque interaction numérique doit être vérifiée et surveillée.

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Campagnes de phishing sur le thème fiscal augmentent le risque de malware dans les entreprises, selon une alerte de Microsoft.

Oracle révèle une deuxième faille de sécurité en un mois avec vol de crédentiels de clients

Equinix atteint un jalon au Chili avec l’inauguration du premier centre de données avec refroidissement liquide pour l’IA

Broadcom annonce un programme de rachat d’actions d’une valeur de 10 milliards de dollars.

MIT connecte des puces quantiques sans contact physique : une avancée vers des superordinateurs quantiques évolutifs

Les tarifs européens affecteront-ils les grandes entreprises technologiques américaines ? La réponse pourrait changer le commerce numérique mondial.

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.