Barracuda full logo

Email Threat Radar - April 2025

Thèmes:
29 avr. 2025
|

Le mois dernier, les analystes des menaces Barracuda ont identifié plusieurs menaces e-mail notables ciblant des organisations du monde entier et conçues pour échapper à la détection et augmenter les chances de succès, notamment :

  • Attaques des e-mails ciblant les victimes avec des invitations de calendrier toxiques
  • Des kits de hameçonnage abusent d’une plateforme de partage de fichiers fiable
  • Hameçonnage par messagerie vocale revient après plusieurs mois de déclin

Les invitations toxiques au calendrier sont un autre piège tendu aux victimes par e-mail

Aperçu des menaces

Les analystes des menaces de Barracuda ont repéré le kit d’hameçonnage Sneaky 2FA qui distribue des invitations empoisonnées dans le cadre d’une attaque visant à voler les identifiants des utilisateurs.

Les pièces jointes ICS (iCalendar) fonctionnent sur différentes plateformes telles que Google Calendar, Microsoft Outlook et Apple Calendar. Cette compatibilité rend les fichiers ICS (.ics) populaires pour la planification d’événements, de réunions et de rendez-vous entre organisations. Ils sont particulièrement utiles pour les réunions virtuelles, car ils peuvent contenir des URL pour les appels vidéo ou les documents connexes.

Dans l'attaque observée par les analystes de Barracuda, le corps de l'e-mail est vide et ne contient qu'un lien vers un fichier ICS qui semble être une invitation de calendrier légitime. Le fichier contient certains détails de l’événement ainsi qu’un lien d’hameçonnage qui prétend diriger le destinataire vers une facture impayée.

Exemple d’invitation au calendrier malveillantes
Lorsque le destinataire ouvre l’invitation, un lien redirige vers la plateforme Monday légitime où est hébergé le contenu d’hameçonnage. 
Exemple de code d’une invitation de calendrier malveillante
Une vérification CAPTCHA est présentée à la victime et elle doit cliquer sur « Afficher le document », ce qui la redirige vers une page d’hameçonnage conçue pour voler ses identifiants Microsoft. 
Exemple de page d’hameçonnage

Signes à surveiller

  • Tout élément suivant devrait vous alerter : une invitation à une réunion imprévue, provenant d'une personne que vous ne connaissez pas ou dont vous n'avez pas souvent de nouvelles, pour discuter d'un sujet dont vous n'avez pas connaissance, sans contexte ni message explicatif. Signalez le message à votre équipe de sécurité et, le cas échéant, vérifiez directement auprès de l'expéditeur si le message est légitime.
  • L’utilisation d’invitations de calendrier dans les attaques par hameçonnage est en hausse, avec plusieurs rapports faisant état d’invitations de calendrier Google usurpées dans des campagnes d’hameçonnage.  
  • Étant donné que les fichiers ICS sont souvent considérés comme inoffensifs et que tous les outils de sécurité ne peuvent pas détecter les invitations malveillantes, cela représente une nouvelle opportunité, du moins pendant un certain temps, pour les pirates de contourner les contrôles de sécurité et de piéger les victimes.

Des kits d'hameçonnage utilisent ShareFile pour lancer des centaines d'attaques

Aperçu des menaces

Les analystes en menaces de Barracuda ont repéré plusieurs centaines d'attaques menées par des kits de phishing notoires qui exploitent la plateforme légitime de partage de documents ShareFile.

Les kits hébergent de faux formulaires de connexion sur ShareFile et envoient des URL ShareFile aux victimes potentielles.

Ce n’est pas la première fois que les analystes de menaces de Barracuda découvrent du contenu d’hameçonnage hébergé sur ShareFile, mais son utilisation par les principales plateformes d'hameçonnage en tant que service (PhaaS) est une nouveauté. Cette tactique semble être la dernière d'une longue série d'adaptations par les groupes PhaaS pour échapper à la détection, augmenter la furtivité et assurer la survie des campagnes d'hameçonnage.

Les kits hébergeant du contenu sur ShareFile sont Tycoon 2FA et Mamba 2FA, qui évoluent rapidement. Barracuda a récemment publié un rapport sur le comportement de Tycoon 2FA et d'autres plateformes PhaaS en plein essor. Mamba 2FA suit une approche similaire.

Mamba 2FA, un autre PhaaS « très prisé »

Mamba 2FA cible les utilisateurs de Microsoft 365 et est capable d'intercepter les codes d'accès à usage unique et les cookies d'authentification afin de contourner l'authentification multifactorielle. 

Les techniques d'évasion comprennent l'utilisation de serveurs proxy et de liens d'hameçonnage éphémères et rotatifs qui permettent d'éviter les listes de blocage, des pièces jointes HTML contenant du contenu indésirable pour échapper à la détection par les outils de sécurité, et la détection de sandbox qui envoie le trafic indésirable (tel que les outils d'analyse de sécurité) vers un site sans rapport, comme les pages Web Google 404.

La méthode d'attaque ShareFile

Les e-mails d'hameçonnage usurpent généralement l'identité de SharePoint ou DocuSign et contiennent une notification de partage de fichier ainsi qu'un lien qui redirige les utilisateurs vers un faux document hébergé sur ShareFile. 

Exemple d’attaque ShareFile

Étant donné que l’e-mail inclut une URL ShareFile légitime, le message ne signale aucun problème de sécurité. Et comme les destinataires connaissent la plateforme et lui font confiance, ils sont également plus enclins à cliquer sur le lien et à saisir les données de connexion demandées.

Signes à surveiller

  • Comme ci-dessus, un e-mail que vous n'attendez pas, provenant d'une personne dont vous n'avez pas souvent de nouvelles et portant sur un sujet qui ne vous est pas familier, devrait vous mettre la puce à l'oreille.
  • Il en va de même pour un e-mail ShareFile alors que votre organisation n'utilise généralement pas ShareFile.
  • Signalez le message à votre équipe de sécurité et, le cas échéant, vérifiez directement auprès de l'expéditeur si le message est légitime.
  • Si l’e-mail comprend un lien vous dirigeant vers une page de connexion Microsoft ou Google, vérifiez qu’il s’agit d’une page de connexion légitime. Évitez de saisir vos identifiants si vous pensez que la page est fausse ou malveillante.

Le hameçonnage par formulaire via la messagerie vocale est de nouveau en hausse

Aperçu des menaces

Depuis février, les analystes des menaces Barracuda ont observé une hausse de la détection des attaques d'hameçonnage par e-mail basées sur la messagerie vocale, ou vishing, après une période de déclin. Les attaques prétendent être des alertes de messagerie vocale, et lorsque le destinataire clique sur le lien pour écouter le message, il est dirigé vers un formulaire en ligne hébergé sur des plateformes légitimes, telles que Monday et Zoho, où il doit saisir ses identifiants.

Exemple d’hameçonnage basé sur la messagerie vocale

Parmi les autres attaques de vishing récemment détectées, citons Mamba 2FA et Tycoon 2FA, dont l'une a utilisé le réseau social professionnel LinkedIn pour une redirection d'URL.

Signes à surveiller

  • Comme ci-dessus, le voyant d’avertissement doit s’allumer si l’expéditeur, la nature et le contenu revendiqué du message sont inattendus ou non sollicités. Vérifiez toujours la source si elle semble vraiment authentique.
  • Tout autre signe d'alerte comprend toute pression pour agir ou répondre rapidement, ou toute forme de menace implicite.

Comment Barracuda Email Protection peut aider votre entreprise

Barracuda Email Protection propose une suite complète de fonctionnalités conçues pour vous défendre contre les menaces e-mail avancées.

La solution comprend des fonctionnalités comme Email Gateway Defense, qui offre une protection contre le phishing et les malwares, et une protection contre l'usurpation d'identité, qui vous défend contre les attaques de social engineering.

En outre, elle offre une réponse aux incidents et une protection contre l'usurpation de domaine pour atténuer les risques liés aux comptes compromis et aux domaines frauduleux. Le service inclut également la fonctionnalité Cloud-to-Cloud Backup et une formation de sensibilisation à la sécurité dont l'objectif est d'améliorer la posture globale de l'entreprise en matière de sécurité des e-mails.

Barracuda combine l'intelligence artificielle et l'intégration avancée à Microsoft 365 dans une solution cloud complète qui offre une protection contre les attaques par phishing et par usurpation hyperciblées et potentiellement dévastatrices.

Vous trouverez plus d’informations ici.

Bénéficiez d’une sécurité des e-mails complète optimisée par l’IA
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.