
Nouvelle série : Malware Brief
Cet article est le premier d'une nouvelle série pour le blog Barracuda. Chacun de nos articles sur les malwares mettra en lumière les principales menaces de malware. Nous aborderons les détails techniques et leur place dans la taxonomie des types de menaces, et nous examinerons comment chacune d'elles peut potentiellement attaquer et endommager votre organisation.
Le Any Run Malware Trends Tracker est une ressource utile pour tous ceux qui cherchent à savoir quelle menace domine le paysage. Commençons par le malware qui figure en tête de liste, Tycoon 2FA.
Tycoon 2FA
Type : kit d'hameçonnage (Phishing-as-a-Service)
Sous-type : AiTM (Adversary in the Middle)
Distribution : chaînes Telegram, à 120 $ pour 10 jours
Cibles courantes : Gmail, comptes Microsoft 365
Opérateurs Telegram connus : Tycoon Group, SaaadFridi et Mr_XaaD
Tycoon 2FA est une plateforme de PHaaS (Phishing-as-a-Service) découverte pour la première fois en août 2023. Il a été maintenu et mis à jour régulièrement, au moins jusqu'au début de l'année 2025.
Comme le nom de cette version l'indique, ses dernières mises à jour lui permettent d'échapper aux stratégies d'authentification à deux facteurs. Vous trouverez une analyse technique approfondie de Tycoon 2FA dans cet article du blog Threat Spotlight.
L'une des principales caractéristiques de Tycoon 2FA est son extrême facilité d'utilisation. Des individus sans compétences techniques avancées peuvent facilement l'utiliser pour créer et exécuter des attaques par hameçonnage ciblées. À l'aide d'URL et de codes QR, les cibles sont dirigées vers de fausses pages web où les identifiants sont collectés.
Tycoon 2FA peut ensuite être utilisé pour diffuser des malwares, effectuer une reconnaissance approfondie, etc. Il contourne le MFA en agissant comme un homme du milieu, capturant et réutilisant les cookies de session. Ces identifiants peuvent continuer à être réutilisés même après la mise à jour des identifiants, offrant ainsi à l'utilisateur un accès prolongé aux réseaux ciblés.
Comme indiqué ci-dessus, l'opérateur derrière Tycoon 2FA vend des licences de 10 jours pour 120 $ via Telegram.
Lumma
Type : Infostealer
Distribution : Malware-as-a-Service
Alias : LummaC, LummaC2
Systèmes cibles : Windows 7 à 11
Le voleur d'informations Lumma a fait son apparition pour la première fois en août 2022. Il est facilement accessible et proposé à la vente en tant que service, avec plusieurs forfaits disponibles à différents prix.
Une fois qu'il accède à un système, soit par une campagne d'hameçonnage réussie, soit caché dans un faux logiciel, soit par un message direct sur Discord, Lumma est très efficace. Il identifie, rassemble et exfiltre un large éventail de données sensibles. Il est généralement utilisé pour cibler les portefeuilles de cryptomonnaies, les identifiants de connexion et d'autres données sensibles.
Le malware peut collecter des journaux de données à partir de points de terminaison compromis, et il peut également agir comme un chargeur, en installant d'autres types de malwares.
En mai 2025, Microsoft et Europol ont notamment annoncé une opération visant à mettre fin à Lumma en fermant la « structure de commande centrale » du voleur, en supprimant plus de 1 300 domaines et en fermant la principale place de marché de vente du malware et des données volées. (Une autre opération d'Europol à la même époque a démantelé les infrastructures de nombreux autres types de malwares.)
Néanmoins, plusieurs milliers de systèmes continuent d'être infectés et Lumma conserve la quatrième place sur la liste mondiale des malwares actifs établie par Any Run.
Quasar RAT
Type : cheval de Troie d'accès à distance (RAT)
Systèmes cibles : Windows, toutes les versions
Auteur : Inconnu
Diffusion : campagnes de spams par e-mail
Quasar RAT est un type de malware qui permet à des criminels de prendre le contrôle de systèmes infectés. Il est largement disponible en tant que projet open source, ce qui le rend très populaire. Son auteur original n'est pas connu. Bien qu'il ait été initialement conçu comme un outil d'accès à distance légitime, il a gagné en popularité en tant qu'arme de cybermenace.
Quasar a été révisé et mis à jour à plusieurs reprises, augmentant ainsi l'éventail des actions potentielles qu'il peut entreprendre ou permettre à ses utilisateurs de prendre. Les utilisateurs peuvent accéder à une interface utilisateur graphique sur le composant côté serveur du malware et personnaliser le malware côté client pour répondre à leurs besoins.
Les fonctionnalités incluent la gestion de fichiers à distance sur la machine infectée, les modifications du registre, l'enregistrement des actions de la victime, l'établissement de connexions de bureau à distance, etc.
L'une des caractéristiques remarquables est sa capacité à fonctionner « en silence », ce qui permet de passer inaperçu pendant de longues périodes pendant que les pirates contrôlent le PC infecté.
Comme les autres RAT, Quasar est principalement distribué par des campagnes de spam par e-mail qui livrent le malware ou son chargeur sous la forme d'un document.
Actuellement, Quasar RAT est classé au n° 9 dans le classement mondial d'Any Run, avec une récente augmentation de son activité.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter