Barracuda full logo

Email Threat Radar – Juin 2025

Thèmes:
10 juin 2025
|

En mai, les analystes des menaces Barracuda ont identifié plusieurs menaces e-mail notables ciblant des organisations du monde entier et conçues pour échapper à la détection et augmenter les chances de succès, notamment :

  • Le kit d'hameçonnage EvilProxy refait surface avec de nouvelles attaques et tactiques, telles que :
    • Spoofing de la plateforme d'emploi Upwork
    • Envoi de fausses alertes de sécurité Microsoft 365
    • Fraudes à la fausse facture avec des pièces jointes multicouches pour renforcer la tromperie
  • Attaques par hameçonnage sur le thème de l'hôtellerie utilisant la technique de social engineering ClickFix rendue populaire par les acteurs malveillants des États-nations.

EvilProxy refait surface avec de nouvelles tactiques, en usurpant le nom d'une plateforme d'emploi populaire et en envoyant de faux avertissements Microsoft 365

Aperçu des menaces

EvilProxy, l'un des principaux fournisseurs de Phishing-as-a-Service (PhaaS) qui était prolifique début 2025, a refait surface avec une série de tactiques innovantes conçues pour inciter les utilisateurs à cliquer sur des liens et à partager leurs identifiants. La première d'entre elles est une vague d'attaques spoofing par hameçonnage qui consiste à se faire passer pour la plateforme d'emploi Upwork afin d'envoyer de fausses notifications de paiement.

Usurpation de la plateforme de freelance Upwork

Les attaques commencent par un e-mail d'apparence légitime qui prétend informer le freelance qu'il a été payé pour un travail récent. Pour renforcer la crédibilité, l'e-mail prétend provenir d'un client de confiance d'Upwork.

Le corps du message e-mail contient un lien invitant le destinataire à consulter les détails du paiement. 

Exemple d'attaque par e-mail se faisant passer pour UpWork

Ce lien les dirige vers une page ShareFile où un autre lien leur est présenté.

Si la cible clique sur ce lien, elle est redirigée vers une page de « vérification » pour « prouver » qu'elle n'est pas un bot. Cette étape supplémentaire a pour but de rendre le processus plus légitime et d'encourager la victime à poursuivre. 

Fausse vérification de sécurité

La victime est ensuite redirigée vers une fausse page de connexion conçu pour voler ses identifiants Microsoft, donnant aux pirates accès à ses comptes personnels et à ses données sensibles.

Une nouvelle variante de la fraude à la facture classique impliquant des pièces jointes superposées

Une autre série d'attaques EvilProxy sur lesquelles les analystes des menaces Barracuda ont enquêté le mois dernier concernait des scams sur les factures qui entraînaient les victimes à accéder à de multiples pièces jointes, chacune les éloignant de plus en plus de la protection.

Fausse note de versement
Ces attaques commencent par un message qui ressemble à une confirmation de paiement légitime et qui contient une pièce jointe .msg . La pièce jointe .msg prétend être une note de versement et inclut une image intégrée déguisée en pièce jointe PDF. Lorsque l'utilisateur peu méfiant clique sur l'image, il est redirigé par un lien malicieux vers une page de vérification Turnstile de Cloudflare.
Vérification des faux versements

La vérification Turnstile rend plus difficile pour les outils de sécurité automatisés de repérer le site d'hameçonnage EvilProxy vers lequel l'utilisateur est dirigé après avoir passé la vérification Turnstile. La page d'hameçonnage est conçue pour voler les identifiants de connexion de la victime.

Alertes de sécurité frauduleuses Microsoft 365

Les analystes de la menace ont également découvert qu'EvilProxy envoyait des e-mails de phishing déguisés en alertes de connexion à Microsoft 365. Ces alertes prétendent provenir de fournisseurs de sécurité connus et fiables.

Dans la campagne observée par les analystes des menaces de Barracuda, les pirates ont envoyé une série d'e-mails avec un corps cohérent, mais trois lignes d'objet différentes. Cette tactique est souvent utilisée par les scammers pour permettre aux attaques de se poursuivre une fois que les outils de sécurité ont repéré et bloqué l'une des lignes d'objet.

Alerte de sécurité frauduleuse Microsoft 365

L'e-mail avertit les destinataires qu'ils doivent de toute urgence bloquer une adresse IP particulière qui tente à plusieurs reprises de se connecter à leur compte : une tactique courante pour créer un sentiment d'urgence et la nécessité d'une action rapide.

L'e-mail contient un lien intégré sur lequel les utilisateurs doivent cliquer pour bloquer l'adresse IP. Ce lien les dirige vers une fausse page de connexion Microsoft, conçue pour dérober leurs identifiants de connexion.

Les scammers incitent les utilisateurs à s'attaquer eux-mêmes en utilisant la technique ClickFix

Aperçu des menaces

ClickFix est une tactique de social engineering populaire auprès des acteurs malveillants des États-nations et maintenant des gangs d'hameçonnage. Il s'agit de tromper les victimes en leur faisant croire qu'il y a un problème avec quelque chose qu'elles tentent de faire. Un message d'erreur ou une invite indique aux utilisateurs qu'ils peuvent résoudre le problème en copiant-collant certaines commandes dans une boîte de dialogue Windows. Ces commandes permettent aux pirates d'exécuter des commandes malicieuses sur l'ordinateur des victimes.

Les scams d'hameçonnage ClickFix ne nécessitent pas que les cibles ouvrent des documents infectés ou cliquent sur des liens malicieux. Ils s'appuient sur la duplication des utilisateurs pour qu'ils ajoutent eux-mêmes des commandes malveillantes, ce qui rend ces attaques plus difficiles à repérer par les systèmes de sécurité automatisés.

Les exemples récents observés par Barracuda reflètent ceux observés ailleurs, ciblant des organisations du secteur de l'hôtellerie se faisant passer pour quelqu'un appelé « David » qui avait réservé une chambre d'hôtel via Booking.com, mais n'avait jamais reçu de confirmation. 

Exemple d'arnaque par hameçonnage ClickFix

Les e-mails emploient un langage émotionnel pour demander au destinataire de cliquer sur un lien afin de vérifier la réservation avant que le client ne perde de l'argent. Pour rendre l'e-mail encore plus authentique, il inclut la signature « Envoyé depuis iPhone ».

Les analystes des menaces de Barracuda ont enquêté sur deux variantes de l'attaque.

Dans la première variante, lorsque les utilisateurs cliquent sur le lien, ils sont redirigés vers une page qui ressemble à une vérification standard « Je ne suis pas un robot ».

Vérification de robots factices
Exemple de code issu d'une attaque par hameçonnage

Il leur est demandé de suivre quelques instructions simples : appuyer sur la touche Windows + R, puis sur Ctrl + V pour coller une commande, et appuyer sur Entrée. Le bouton « Verify » (Vérifier), judicieusement placé, permet de copier silencieusement une commande malicieuse dans le presse-papiers de la victime. Lorsque l'utilisateur suit les instructions, il exécute cette commande sans le savoir. Cela télécharge et exécute silencieusement du malware en arrière-plan, permettant ainsi aux pirates d'accéder au système de la victime sans aucun signe évident de compromission.

Les pirates installent notamment des scripts malicieux qui peuvent voler des informations sensibles ou installer des malwares supplémentaires.

Dans la deuxième variante de l'attaque, il n'y a pas de bouton « Vérifier ». Au lieu de cela, la page affiche une simple case à cocher comme un CAPTCHA typique. Lorsque les utilisateurs cliquent sur la case à cocher, une brève animation de chargement s'affiche, ce qui donne l'impression qu'il s'agit d'un véritable processus de vérification. Cependant, en arrière-plan, la page copie silencieusement une commande malicieux dans le presse-papiers de l'utilisateur à son insu.

La commande utilise un outil Windows intégré qui exécute un fichier d'applications HTML (HTA). Bien que leur objectif soit légitime, ces fichiers sont souvent exploités par des pirates pour exécuter des scripts malicieux. Dans les incidents observés par Barracuda, ces fichiers se connectent à une URL, qui contient probablement un fichier HTA ou un script nuisible conçu pour exécuter du code sur le système de la victime.

Dans les deux cas, l'objectif des pirates est de diffuser et d'exécuter du code malicieux avec une interaction minimale de l'utilisateur, en utilisant des composants Windows de confiance pour contourner les logiciels de sécurité et compromettre silencieusement le système.

Comment Barracuda Email Protection peut aider votre entreprise

Barracuda Email Protection propose une suite complète de fonctionnalités conçues pour vous défendre contre les menaces e-mail avancées.

La solution comprend des fonctionnalités comme Email Gateway Defense, qui offre une protection contre le phishing et les malwares, et une protection contre l'usurpation d'identité, qui vous défend contre les attaques de social engineering.

En outre, elle offre une réponse aux incidents et une protection contre l'usurpation de domaine pour atténuer les risques liés aux comptes compromis et aux domaines frauduleux. Le service inclut également la fonctionnalité Cloud-to-Cloud Backup et une formation de sensibilisation à la sécurité dont l'objectif est d'améliorer la posture globale de l'entreprise en matière de sécurité des e-mails.

Barracuda combine l'intelligence artificielle et l'intégration avancée à Microsoft 365 dans une solution cloud complète qui offre une protection contre les attaques par phishing et par usurpation hyperciblées et potentiellement dévastatrices.

Vous trouverez plus d’informations ici.

Bénéficiez d’une sécurité des e-mails complète optimisée par l’IA
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.