Barracuda full logo

Email Threat Radar - Mars 2025

Thèmes:
12 mars 2025
|

Le mois dernier, les analystes des menaces de Barracuda ont identifié plusieurs menaces par e-mail notables ciblant des organisations du monde entier :

  • Tentatives d'extorsion où les pirates se font passer pour le gang de ransomware Clop.
  • Nouvelles attaques via la plateforme de phishing évasive et hautement adaptative de LogoKit
  • Campagne de phishing utilisant des pièces jointes contenant des fichiers image SVG

Les pirates se font passer pour le gang de ransomware Clop afin d'extorquer un paiement

Aperçu des menaces

Pourquoi consacrer de l'argent et des efforts dans une véritable attaque par ransomware alors que vous pouvez simplement faire croire à ce type d'attaque ?

Les analystes des menaces de Barracuda ont récemment découvert une nouvelle attaque par e-mail : les scammers tentaient de convaincre leurs cibles qu'ils étaient le gang de ransomware Clop et qu'ils avaient réussi à pénétrer le réseau de l'entreprise et à dérober des données sensibles. Les pirates menaçaient de révéler les informations à moins que la victime ne paie une somme non spécifiée.

Exemple d'une attaque où les scammers se font passer pour le gang de ransomware Clop

Dans leur e-mail d'extorsion, les pirates affirmaient avoir exploité une vulnérabilité chez Cleo, le développeur d'une gamme de plateformes de transfert de fichiers gérées incluant entre autres Cleo Harmony, VLTrader et LexiCom. Cette méthode d'attaque est largement associée au gang de ransomware Clop.

Les pirates affirmaient avoir obtenu un accès non autorisé au réseau de l'entreprise de la victime et avoir téléchargé et exfiltré des données des serveurs. Pour donner de l'authenticité à leurs affirmations, ils dirigeaient la cible vers un article de blog médiatique expliquant comment Clop avait volé les données de 66 clients de Cleo en utilisant cette approche.

Les pirates fournissaient une série d'adresses e-mail de contact et exhortaient la victime à prendre contact.

Signes à surveiller

  • Les e-mails du faux groupe Clop sont susceptibles de faire référence aux articles publiés dans les médias sur les attaques par ransomware du véritable groupe Clop.
  • Si l'e-mail contient des éléments tels qu'une échéance de paiement de 48 heures, des liens vers un canal de chat sécurisé pour la négociation du paiement de la rançon, et des noms partiels d'entreprises dont les données ont été compromises, alors vous avez probablement affaire au véritable gang de ransomware Clop et vous devez prendre des mesures immédiates pour atténuer l'impact de l'incident.
  • En l'absence de ces éléments, vous êtes probablement simplement victime d'un scam.

Le kit de phishing LogoKit échappe à la détection grâce à des liens uniques et à des interactions en temps réel avec la victime

Aperçu des menaces

Les analystes de Barracuda ont eu affaire à la plateforme bien établie de phishing-as-a-service LogoKit, qui distribue des e-mails malveillants exhortant les utilisateurs à réinitialiser leur mot de passe.

LogoKit est actif depuis 2022, et ses caractéristiques et fonctionnalités lui permettent d'échapper aux défenses de sécurité traditionnelles, rendant la détection et l'atténuation beaucoup plus difficiles.

Parmi d'autres caractéristiques, LogoKit a la capacité inquiétante de pouvoir interagir en temps réel avec les victimes. Cela signifie que les pirates peuvent modifier leurs pages de phishing de manière dynamique pendant que la victime saisit ses identifiants. LogoKit récupère le logo de l'entreprise auprès d'un service tiers, par exemple Clearbit ou la base de données de favicon de Google.

LogoKit est très polyvalent. Il s'intègre aux services de messagerie, aux réseaux sociaux et aux plateformes d'e-mail populaires pour diffuser ses attaques par phishing. Il peut générer des pages de phishing uniques, adaptées à chaque cible. Ce niveau de polyvalence rend également sa détection plus difficile pour les défenses de sécurité traditionnelles.

Dans la campagne la plus récente observée par les analystes des menaces de Barracuda, les pirates ont distribué des e-mails d'apparence authentique avec les en-têtes « Réinitialisation du mot de passe demandée » ou « Action immédiate requise sur le compte ». 

Exemple d'une attaque par hameçonnage avec LogoKit

Ces en-têtes créent un sentiment d'inquiétude et d'urgence, destinés à inciter le destinataire à cliquer rapidement sur le lien afin de résoudre le soi-disant problème. Il est en fait redirigé vers une page de phishing créée de manière dynamique et hébergée par LogoKit.

Cette page est spécifiquement conçue pour avoir une apparence identique au portail de connexion et à la page de réinitialisation du mot de passe du service auquel la victime croit se connecter. La victime est invitée à saisir ses identifiants de connexion, qui sont ensuite capturés par le pirate.

Signes à surveiller

  • Le modèle d'URL à rechercher :
  • https://ExempleURL.#.[ clé + e-mail de la victime ]
  • https://ExempleURL/[ clé + e-mail de la victime ]
  • https://ExempleURL.#.[ URL encodée en base64 + e-mail de la victime ]

Modèle d'hyperlien vers Clearbit et Favicon pour la récupération du logo :

  • <img src="https://logo.clearbit.com/domaine de la victime" >
  • <img src= "https://www.google.com/s2/favicons?domain=domaine de la victime" >

Attaques par hameçonnage exploitant des pièces jointes graphiques SVG

L'utilisation de pièces jointes malveillantes dans les attaques par hameçonnage, avec peu ou pas de texte dans le corps de l'e-mail, est en augmentation. Les analystes des menaces ont observé des attaques utilisant des fichiers PDF, HTML, HTM, des documents Word, des fichiers Excel et des archives ZIP.

À mesure que les outils de détection s'améliorent, les pirates continuent d'adapter leurs méthodes d'attaque, et les analystes des menaces de Barracuda ont récemment observé une tendance à l'utilisation de pièces jointes SVG (Scalable Vector Graphics) dans les attaques par hameçonnage. Certaines de ces attaques sont menées à l'aide de plateformes populaires de phishing-as-a-service (PhaaS) telles que Tycoon 2FA.

Le format d'image SVG est idéal pour les sites web, car les images peuvent être agrandies ou réduites sans perdre en résolution. Les fichiers SVG sont généralement écrits dans une version XML compatible avec le Web.

Selon les analystes de Barracuda, les fichiers SVG sont de plus en plus utilisés pour distribuer des charges utiles malveillantes, car ils peuvent contenir des scripts intégrés, non suspicieux pour les outils de sécurité.

Dans les échantillons analysés par Barracuda, les analystes ont détecté des attaques traditionnelles de type « transfert de fonds urgent » ou des attaques visant à dérober les identifiants Microsoft de la victime. Dans les attaques plus complexes, l'ouverture de la pièce jointe à l'email déclenche le téléchargement d'un fichier ZIP malveillant.

Exemple d'une attaque par hameçonnage exploitant des fichiers SVG

Si un environnement sandbox est détecté, les pirates redirigent la « victime » vers un site d'achat populaire légitime.

Signes à surveiller

  • Si un e-mail contient une pièce jointe au format .SVG avec des liens cliquables, évitez d'interagir avec le fichier joint.
  • D'autres signaux d'alerte incluent les fichiers SVG invitant l'utilisateur à télécharger des fichiers supplémentaires, et l'apparition d'avertissements dans le navigateur ou d'alertes de sécurité à l'ouverture du fichier.

Comment Barracuda Email Protection peut aider votre entreprise

Barracuda Email Protection propose une suite complète de fonctionnalités conçues pour vous défendre contre les menaces e-mail avancées.

La solution comprend des fonctionnalités comme Email Gateway Defense, qui offre une protection contre le phishing et les malwares, et une protection contre l'usurpation d'identité, qui vous défend contre les attaques de social engineering.

En outre, elle offre une réponse aux incidents et une protection contre l'usurpation de domaine pour atténuer les risques liés aux comptes compromis et aux domaines frauduleux. Le service inclut également la fonctionnalité Cloud-to-Cloud Backup et une formation de sensibilisation à la sécurité dont l'objectif est d'améliorer la posture globale de l'entreprise en matière de sécurité des e-mails.

Barracuda combine l'intelligence artificielle et l'intégration avancée à Microsoft 365 dans une solution cloud complète qui offre une protection contre les attaques par phishing et par usurpation hyperciblées et potentiellement dévastatrices.

Vous trouvez des informations supplémentaires ici.

Bénéficiez d'une sécurité des e-mails complète
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.