Email Threat Radar – Juillet 2025

En juillet, les analystes des menaces de Barracuda ont identifié plusieurs menaces notables par email ciblant des organisations du monde entier. Nombre d’entre elles exploitaient des kits de hameçonnage en tant que service (PhaaS) populaires. Les menaces étaient les suivantes :

• Tycoon PhaaS se faisant passer pour Autodesk Construction Cloud lors d’une attaque par hameçonnage d’identifiants
• Scam aux fausses infractions au péage ciblant les conducteurs américains
• Emails phishing imitant le service de messagerie sécurisée Zix
• Attaques EvilProxy se faisant passer pour RingCentral
• Kit d’hameçonnage Gabagool exploitant un outil de productivité d’entreprise à l’aide de PDF frauduleux
• Attaques par hameçonnage regroupant les marques Copilot et SharePoint
• Attaques de vol d’identifiants LogoKit utilisant le service de messagerie Web Roundcube
• Liens Tycoon distribués sous forme de téléchargements de documents

Attaques par hameçonnage exploitant Autodesk Construction Cloud

Aperçu des menaces :

Les analystes des menaces de Barracuda ont observé des pirates exploiter Autodesk Construction Cloud pour lancer des attaques par hameçonnage sophistiquées. Autodesk Construction Cloud est un ensemble d’outils de collaboration en ligne destinés aux personnes travaillant sur des projets de construction, de la conception à la réalisation et de la gestion de projet à la budgétisation.

Dans les attaques observées par Barracuda, les pirates se font passer pour un haut responsable de confiance et envoient des notifications de projet d’apparence officielle via Autodesk. Les notifications redirigent les destinataires vers une page hébergée par Autodesk contenant un fichier ZIP apparemment inoffensif. 

Le fichier ZIP contient un fichier HTML qui initie la tentative d’hameçonnage.

À l’ouverture du fichier HTML, un faux écran de vérification CAPTCHA s’affiche, une technique courante dans l’hameçonnage qui permet d’accroître la crédibilité et de contourner la détection de sécurité automatisée. L’utilisateur est ensuite invité à saisir ses identifiants de connexion Microsoft sur une page de spoofing convaincante. 

Cette campagne utilise le kit d’hameçonnage Tycoon 2FA, conçu pour imiter la connexion Microsoft et contourner les protections d’authentification à deux facteurs.

Les pirates informatiques ciblent les usagers du réseau routier américain à l’aide d’un nouveau scam au péage

Aperçu des menaces :

Une nouveau scam de hameçonnage cible les conducteurs américains avec de fausses notifications de péages impayés. Les victimes reçoivent des messages urgents par SMS, email ou téléphone, qui semblent souvent provenir d’organismes de péage légitimes. Ces messages indiquent que le destinataire doit s’acquitter de frais et menacent de suspendre son compte ou d’engager des poursuites si le paiement n’est pas effectué immédiatement. 

Les messages contiennent des liens vers de faux sites Web qui demandent des données sensibles telles que les numéros de plaques d’immatriculation et les détails des cartes de crédit. Les escrocs exploitent ensuite ces informations à des fins financières ou d’usurpation d’identité. 

Les tactiques qui exploitent le sentiment d’urgence et des marques officielles poussent les destinataires à agir sans vérifier la légitimité du message, ce qui rend ce scam très efficace.

Campagne de hameçonnage se faisant passer pour Zix Secure Message Center

Aperçu des menaces :

Cette campagne imite Zix Secure Message Center, un service de messagerie électronique chiffré populaire auprès des organisations des secteurs de la santé, de la finance, du droit et de l’administration publique.

Les victimes reçoivent un email concernant un message prétendument sécurisé, avec un lien sur lequel elles doivent cliquer pour le consulter. Le lien dirige les utilisateurs vers une fausse page Zix où il leur est demandé de saisir leur adresse email. Ils sont ensuite redirigés vers une page de connexion Microsoft frauduleuse conçue pour voler leurs identifiants. 

La campagne est efficace car elle reproduit fidèlement les workflows et l’identité de marque réels de Zix, ce qui rend difficile pour les destinataires de repérer la tromperie. Les organisations qui utilisent des services de chiffrement des emails tels que Zix et Microsoft 365 sont particulièrement exposées.

Attaque par fausse messagerie vocale EvilProxy usurpant RingCentral

Aperçu des menaces :

Les analystes des menaces de Barracuda ont observé une attaque par hameçonnage sophistiquée utilisant de fausses alertes de messagerie vocale pour inciter les victimes à saisir leurs identifiants sur des sites malveillants. 

Se faisant passer pour RingCentral, une plateforme de communication et de collaboration professionnelle basée sur le cloud, les pirates envoient des emails convaincants annonçant un « nouveau message vocal » avec des détails personnalisés. En cliquant sur le bouton de lecture, une série de redirections est lancée, commençant par une plateforme de newsletter fiable (Beehiiv), suivie d’un hébergement cloud légitime (Linode), et enfin d’une étape de vérification sur glitch.me.

Ces étapes permettent à l’attaque d’échapper à la détection et de renforcer la crédibilité. La destination est une page d’hameçonnage utilisant le kit EvilProxy PhaaS, conçu pour récolter les identifiants Microsoft et même de contourner les contrôles de sécurité courants. Cette approche multicouche rend l’attaque difficile à repérer et très efficace.

En bref

Le kit d’hameçonnage Gabagool exploite un outil de productivité d’entreprise à l’aide de PDF frauduleux

Aperçu des menaces :

Gabagool est un kit PhaaS sophistiqué, réputé pour sa furtivité et son efficacité, ciblant les employés des entreprises et des administrations publiques à l’aide de tactiques avancées de vol d’identifiants. Les analystes des menaces de Barracuda ont repéré des pirates utilisant Gabagool et la fonctionnalité de partage de fichiers de l’outil de productivité professionnelle Notion.com pour distribuer des fichiers PDF malveillants contenant des liens d’hameçonnage. Les fichiers PDF mènent à des pages d’hameçonnage conçues pour voler les identifiants des utilisateurs. En exploitant une plateforme de confiance et des fichiers PDF apparemment inoffensifs, les pirates augmentent leurs chances de contourner les contrôles de sécurité standard.

Regroupement des marques Copilot et SharePoint pour le hameçonnage

Aperçu des menaces :

Les cybercriminels associent les marques Microsoft SharePoint et Copilot dans des tentatives de hameçonnage, en créant des emails qui ressemblent à de véritables alertes « Document partagé » provenant de comptes internes ou fournisseurs. Ces messages incitent les destinataires à cliquer sur des liens menant à des pages de connexion Microsoft habilement falsifiées. La campagne vise les organisations qui utilisent les outils Microsoft dans le but de collecter les identifiants de connexion d’employés peu méfiants.

LogoKit assure le vol d’identifiants en exploitant le service de messagerie Web Roundcube

Aperçu des menaces :

Cette campagne d’hameçonnage cible les utilisateurs du client de messagerie Web open source gratuit Roundcube avec de fausses alertes d’expiration de mot de passe, les avertissant que leur mot de passe expirera dans 48 heures si aucune action n’est entreprise. Le message contient un lien censé permettre de conserver le mot de passe actuel, mais qui mène à un site d’hameçonnage conçu à l’aide de la boîte à outils LogoKit. Ici, les utilisateurs sont invités à saisir leurs identifiants, qui sont ensuite récupérés par les pirates.

Le lien Tycoon PhaaS a été distribué en tant que document de projet à télécharger

Aperçu des menaces :

Cette campagne d’hameçonnage diffuse des emails déguisés en documents professionnels légitimes, tels que « Project Overview.pdf ». Les victimes sont incitées à cliquer sur des liens de téléchargement qui redirigent vers plusieurs pages intermédiaires pour masquer l’intention malveillante, aboutissant finalement à un site d’hameçonnage hébergé par Tycoon PhaaS. Cette stratégie modulaire et de contournement aide les criminels à échapper à la détection et augmente la longévité des URL frauduleuses. La campagne cible les utilisateurs professionnels habitués à échanger des documents, les rendant plus susceptibles de faire confiance et d’interagir avec les liens d’hameçonnage, ce qui entraîne le vol d’identifiants et un risque de compromission pour l’entreprise.

Comment Barracuda Email Protection peut aider votre entreprise

Barracuda Email Protection propose une suite complète de fonctionnalités conçues pour vous défendre contre les menaces e-mail avancées.

La solution comprend des fonctionnalités comme Email Gateway Defense, qui offre une protection contre le phishing et les malwares, et une protection contre l'usurpation d'identité, qui vous défend contre les attaques de social engineering.

En outre, elle offre une réponse aux incidents et une protection contre l'usurpation de domaine pour atténuer les risques liés aux comptes compromis et aux domaines frauduleux. Le service inclut également la fonctionnalité Cloud-to-Cloud Backup et une formation de sensibilisation à la sécurité dont l'objectif est d'améliorer la posture globale de l'entreprise en matière de sécurité des e-mails.

Barracuda combine l'intelligence artificielle et l'intégration avancée à Microsoft 365 dans une solution cloud complète qui offre une protection contre les attaques par phishing et par usurpation hyperciblées et potentiellement dévastatrices.

Vous trouverez plus d’informations ici.