Barracuda full logo

Nouvelle série : Malware Brief

Thèmes:
24 juin 2025
|
Tony Burgess

Cet article est le premier d'une nouvelle série pour le blog Barracuda. Chacun de nos articles sur les malwares mettra en lumière les principales menaces de malware. Nous aborderons les détails techniques et leur place dans la taxonomie des types de menaces, et nous examinerons comment chacune d'elles peut potentiellement attaquer et endommager votre organisation.

Le Any Run Malware Trends Tracker est une ressource utile pour tous ceux qui cherchent à savoir quelle menace domine le paysage. Commençons par le malware qui figure en tête de liste, Tycoon 2FA.

Tycoon 2FA

Type : kit d'hameçonnage (Phishing-as-a-Service)

Sous-type : AiTM (Adversary in the Middle)

Distribution : chaînes Telegram, à 120 $ pour 10 jours

Cibles courantes : Gmail, comptes Microsoft 365

Opérateurs Telegram connus : Tycoon Group, SaaadFridi et Mr_XaaD

Tycoon 2FA est une plateforme de PHaaS (Phishing-as-a-Service) découverte pour la première fois en août 2023. Il a été maintenu et mis à jour régulièrement, au moins jusqu'au début de l'année 2025.

Comme le nom de cette version l'indique, ses dernières mises à jour lui permettent d'échapper aux stratégies d'authentification à deux facteurs. Vous trouverez une analyse technique approfondie de Tycoon 2FA dans cet article du blog Threat Spotlight.

L'une des principales caractéristiques de Tycoon 2FA est son extrême facilité d'utilisation. Des individus sans compétences techniques avancées peuvent facilement l'utiliser pour créer et exécuter des attaques par hameçonnage ciblées. À l'aide d'URL et de codes QR, les cibles sont dirigées vers de fausses pages web où les identifiants sont collectés.

Tycoon 2FA peut ensuite être utilisé pour diffuser des malwares, effectuer une reconnaissance approfondie, etc. Il contourne le MFA en agissant comme un homme du milieu, capturant et réutilisant les cookies de session. Ces identifiants peuvent continuer à être réutilisés même après la mise à jour des identifiants, offrant ainsi à l'utilisateur un accès prolongé aux réseaux ciblés.

Comme indiqué ci-dessus, l'opérateur derrière Tycoon 2FA vend des licences de 10 jours pour 120 $ via Telegram.

Lumma

Type : Infostealer

Distribution : Malware-as-a-Service

Alias : LummaC, LummaC2

Systèmes cibles : Windows 7 à 11

Le voleur d'informations Lumma a fait son apparition pour la première fois en août 2022. Il est facilement accessible et proposé à la vente en tant que service, avec plusieurs forfaits disponibles à différents prix.

Une fois qu'il accède à un système, soit par une campagne d'hameçonnage réussie, soit caché dans un faux logiciel, soit par un message direct sur Discord, Lumma est très efficace. Il identifie, rassemble et exfiltre un large éventail de données sensibles. Il est généralement utilisé pour cibler les portefeuilles de cryptomonnaies, les identifiants de connexion et d'autres données sensibles.

Le malware peut collecter des journaux de données à partir de points de terminaison compromis, et il peut également agir comme un chargeur, en installant d'autres types de malwares.

En mai 2025, Microsoft et Europol ont notamment annoncé une opération visant à mettre fin à Lumma en fermant la « structure de commande centrale » du voleur, en supprimant plus de 1 300 domaines et en fermant la principale place de marché de vente du malware et des données volées. (Une autre opération d'Europol à la même époque a démantelé les infrastructures de nombreux autres types de malwares.)

Néanmoins, plusieurs milliers de systèmes continuent d'être infectés et Lumma conserve la quatrième place sur la liste mondiale des malwares actifs établie par Any Run.

Quasar RAT

Type : cheval de Troie d'accès à distance (RAT)

Systèmes cibles : Windows, toutes les versions

Auteur : Inconnu

Diffusion : campagnes de spams par e-mail

Quasar RAT est un type de malware qui permet à des criminels de prendre le contrôle de systèmes infectés. Il est largement disponible en tant que projet open source, ce qui le rend très populaire. Son auteur original n'est pas connu. Bien qu'il ait été initialement conçu comme un outil d'accès à distance légitime, il a gagné en popularité en tant qu'arme de cybermenace.

Quasar a été révisé et mis à jour à plusieurs reprises, augmentant ainsi l'éventail des actions potentielles qu'il peut entreprendre ou permettre à ses utilisateurs de prendre. Les utilisateurs peuvent accéder à une interface utilisateur graphique sur le composant côté serveur du malware et personnaliser le malware côté client pour répondre à leurs besoins.

Les fonctionnalités incluent la gestion de fichiers à distance sur la machine infectée, les modifications du registre, l'enregistrement des actions de la victime, l'établissement de connexions de bureau à distance, etc.

L'une des caractéristiques remarquables est sa capacité à fonctionner « en silence », ce qui permet de passer inaperçu pendant de longues périodes pendant que les pirates contrôlent le PC infecté.

Comme les autres RAT, Quasar est principalement distribué par des campagnes de spam par e-mail qui livrent le malware ou son chargeur sous la forme d'un document.

Actuellement, Quasar RAT est classé au n° 9 dans le classement mondial d'Any Run, avec une récente augmentation de son activité. 

S’abonner au blog Barracuda
Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.