Barracuda full logo

Email Threat Radar – Septembre 2025

Thèmes:
23 sept. 2025
|

Le mois dernier, les analystes des menaces de Barracuda ont identifié plusieurs menaces par e-mail notables ciblant des organisations du monde entier. Les menaces étaient les suivantes :

  • Kits d'hameçonnage Tycoon  et EvilProxy exploitant Microsoft OAuth pour accéder et rediriger les URL vers des pages malveillantes
  • Les pirates exploitent un plus large éventail de plateformes en ligne pour créer et héberger des pages de hameçonnage, y compris des environnements cloud sans serveur, des sites de création de sites web et des outils de productivité visuelle
  • En bref, l'utilisation abusive de Google Translate, scammers ciblant DirectSend, Google Classroom et Meet

Les gangs d'hameçonnage abusent de Microsoft OAuth pour un accès furtif

Rapport des menaces

OAuth est une norme largement adoptée qui permet aux utilisateurs de se connecter à des applications tierces telles que Microsoft 365 sans partager leurs mots de passe. Cette commodité a ouvert une nouvelle surface d'attaque. Des chercheurs en sécurité à travers l'industrie, y compris chez Barracuda, observent des kits avancés d'hameçonnage en tant que service (PhaaS) ciblant les faiblesses des implémentations OAuth pour obtenir un accès non autorisé et persistant aux comptes et aux données.

L'utilisation abusive d'OAuth peut permettre aux pirates de :

  • Voler des jetons d’accès
  • Usurper l'identité des utilisateurs
  • Utiliser des identifiants clients volés ou détournés pour accéder silencieusement aux comptes et aux données personnelles
  • Enregistrer les applications malicieuses afin qu'elles semblent dignes de confiance pour inciter les utilisateurs à accorder des autorisations d'accès et de contrôle
  • Profiter des vérifications faibles des adresses de sites web utilisées lors de la connexion ou de la redirection
  • Abuser des fonctionnalités de connexion automatique pour voler des codes d'autorisation à l'insu de l'utilisateur
  • Demander et exploiter la portée .default, qui accorde de larges autorisations d'API préconfigurées, permettant aux pirates qui ont réussi à obtenir des jetons d'accès d'augmenter leurs privilèges et d'accéder à des ressources sensibles

Les attaques OAuth observées par les analystes des menaces de Barracuda sont des attaques PHaaS à grande échelle, automatisées et rationalisées, basées sur le social engineering.

Exemple d'une attaque par hameçonnage tentant d'exploiter les vulnérabilités d'OAuth

Pour mettre en œuvre l'attaque, les pirates modifient l'URL Microsoft OAuth.

L'URL OAuth originale et légitime de Microsoft ressemble à ceci :

Exemple de ce à quoi ressemble une URL Microsoft OAuth légitime

Les différents éléments peuvent être décomposés comme suit :

  • client_id : ce code identifie l'application enregistrée sur Microsoft.
  • response_type : cela indique au serveur OAuth de renvoyer un code d'autorisation, qui initie le flux sécurisé de code d'autorisation utilisé pour obtenir des jetons d'accès.
  • redirect_uri : ceci est un URI de redirection fiable.
  • scope : cela signifie que le système demande des informations de base, qui vous êtes, vos informations de profil et votre adresse email.
  • state : cela demande au système de créer un code spécial ou un jeton au début de la demande, qu'il vérifie lorsque la demande revient afin de savoir qu'elle provient de vous et non d'un pirate qui essaie de tromper le système en modifiant les paramètres ou en envoyant un message en votre nom sans votre permission ou à votre insu.
  • prompt : l'expression « select_account » force le choix d'un compte avant d'autoriser la connexion, afin de s'assurer qu'il s'agit bien de vous et non d'un pirate essayant de s'introduire.

Les URL OAuth malicieuses ont un aspect légèrement différent

Le premier exemple ci-dessous provient d'une attaque Tycoon 2FA au cours de laquelle l'utilisateur est redirigé vers un site d'hameçonnage se faisant passer pour Microsoft et conçu pour voler ses identifiants de connexion. Tous les liens redirigent vers des éléments contrôlés par les pirates.

Exemple d'URL de redirection par hameçonnage
Le deuxième exemple concerne EvilProxy et est conçu pour permettre aux pirates de contourner l'authentification multifactorielle et de détourner les sessions.
Exemple de contournement d'EvilProxy

Dans le lien EvilProxy, la phrase « prompt=none » est utilisée. Cela supprime l'invite de connexion, ce qui signifie que si l'utilisateur est déjà connecté, il sera redirigé silencieusement sans aucune interaction.

S'il s'avère que l'utilisateur n'est pas connecté ou que son consentement est requis, le serveur renvoie une erreur au lieu de demander à l'utilisateur de se connecter. Cela permet aux applications, ou aux pirates, d'actualiser les jetons ou de vérifier l'état de la session sans interrompre l'utilisateur.

Ces attaques obligent généralement les pirates à enregistrer des applications malveillantes auprès de leur locataire Entra ID (Azure AD). Ces applications malveillantes sont soigneusement conçues pour imiter des applications ou des services légitimes.

Elles abusent du flux OAuth de Microsoft pour demander le consentement automatique de l'utilisateur pour des autorisations très larges (ou portées), telles que l'accès aux messageries, aux fichiers, aux calendriers, aux chats Teams ou aux API de gestion.

Une fois qu'un utilisateur a donné son consentement sans le savoir, le pirate peut accéder au compte de l'utilisateur sans avoir besoin de son mot de passe ou d'une authentification multifactorielle, puisque l'accès est accordé par le biais de jetons OAuth.

Dans un scénario plus grave, le pirate peut contourner entièrement le flux OAuth et rediriger l'utilisateur vers une page de connexion pirate qui imite de près l'écran de connexion officiel de Microsoft. Si l'utilisateur saisit ses identifiants à son insu, le pirate les capture, ce qui lui permet d'obtenir un accès complet au compte.

Mesures à prendre pour assurer la sécurité des environnements OAuth

  1. N'autorisez que des liens de redirection fiables afin de vous assurer que les utilisateurs sont renvoyés vers des sites web sûrs et connus après leur connexion.
  2. Envisagez d'ajouter un code secret à chaque demande de connexion pour vous assurer qu'elle provient d'un utilisateur légitime.
  3. Ne laissez pas le système sélectionner automatiquement un compte, demandez aux utilisateurs de choisir leur compte.
  4. Vérifiez que les jetons de connexion sont authentiques, non expirés et destinés à votre application. Utilisez des jetons qui expirent rapidement afin qu'ils ne puissent pas être réutilisés en cas de vol.
  5. Ne demandez pas l'accès à plus de données que nécessaire, telles que les contacts ou les fichiers.
  6. Apprenez aux développeurs et aux utilisateurs à identifier les risques et à utiliser correctement OAuth.
  7. Conservez des journaux pour détecter tout événement inhabituel, comme des connexions provenant de lieux étranges.

Des scammers abusent des plateformes informatiques sans serveur, de la création de sites web et des outils de productivité pour héberger de l'hameçonnage

Aperçu des menaces

Nous avons déjà expliqué comment les pirates abusent des plateformes de collaboration cloud, de gestion de documents et de formulaires en ligne, profitant de leur accessibilité et de leur réputation pour aider les campagnes d'hameçonnage à contourner les filtres de sécurité et à gagner la confiance des utilisateurs.

Nous voyons maintenant aussi des pirates abuser des plateformes d'hébergement de code et d'informatique sans serveur, du développement de sites web et des outils de productivité en ligne pour créer et distribuer des sites d'hameçonnage et des contenus malveillants.

L'utilisation abusive d'une plateforme informatique sans serveur JavaScript par LogoKit

Les plateformes informatiques sans serveur sont conçues pour aider les développeurs d'applications à créer et à exécuter de nouvelles applications sans avoir à investir dans une infrastructure. Elles offrent l'accessibilité, la facilité de déploiement et l'évolutivité, des caractéristiques qui sont également exploitées par les gangs d'hameçonnage lorsqu'ils se cachent derrière un domaine légitime. 

Les analystes des menaces de Barracuda ont récemment découvert que le LogoKit PHaaS exploitait une plateforme sans serveur conçue pour exécuter de petits extraits de code JavaScript ou TypeScript dans le cloud.

La plateforme permet l'utilisation d'URL publiques et le déploiement immédiat à partir d'un extrait de code, ce qui simplifie encore le processus pour les pirates.

Les attaques observées par Barracuda commencent par un email spécialement conçu qui se fait passer pour Roundcube Webmail, affirmant que le mot de passe du destinataire est sur le point d'expirer. Si le destinataire clique sur le bouton « Conserver mon mot de passe », il est redirigé vers un site d'hameçonnage. Le contenu malveillant est hébergé sur la plateforme sans serveur.

Exemple d'attaques par hameçonnage se faisant passer pour Roundcube Webmail

LogoKit adapte l'attaque en se personnalisant de manière dynamique en fonction du domaine d'e-mail de la victime.

La création d'une URL d'hameçonnage sur le site abusé est extrêmement simple, les pirates peuvent déployer quelques lignes de JavaScript ou TypeScript pour générer instantanément une URL vivante et partageable, comme illustré ci-dessous, avec une configuration minimale. 

Exemple d'attaque par hameçonnage utilisant LogoKit

L'utilisation abusive d'outils de création de sites web et de productivité par EvilProxy

Les analystes des menaces de Barracuda ont récemment détecté le kit d'hameçonnage EvilProxy qui exploite à la fois un outil de création de sites web populaire et un outil de productivité visuelle.

Dans un premier temps, les pirates envoient un e-mail de hameçonnage qui demande à la victime de cliquer sur le bouton pour ouvrir le document. En fait, l'ensemble de l'e-mail est constitué d'une seule image intégrée au lien qui conduit les victimes vers le site de création de site web.

Dans le deuxième exemple, les pirates envoient aux cibles un e-mail contenant ce qui semble être un document OneDrive, mais le lien intégré dans l'e-mail mène en réalité à l'application de l'outil de productivité.

En bref

Google Translate comme une porte dérobée

Les pirates exploitent la structure de l'URL de Google Translate en encodant des domaines malicieux pour qu'ils apparaissent comme des sous-domaines de « translate.goog ». 

Cela se fait en remplaçant les points du domaine d'origine par des traits d'union, une tactique qui donne à l'URL l'apparence d'un sous-domaine légitime de Google. Pour les utilisateurs non avertis, le lien semble sûr parce qu'il semble être hébergé par l'infrastructure de Google.

Les liens contournent souvent les filtres de sécurité des e-mails et du web, car les domaines « .goog » sont généralement approuvés par défaut, ce qui augmente le taux de réussite des campagnes d'hameçonnage.

Les scammers ciblent les utilisateurs de SendGrid

Une campagne d'hameçonnage sophistiquée cible activement les clients de Twilio SendGrid en utilisant des sujets techniques tels que « Erreurs d'API affectant la livraison des emails » et « Le point de terminaison du webhook ne répond pas » pour inciter les développeurs et les équipes informatiques à cliquer sur des liens malveillants.

L'attaque imite des alertes système légitimes et se reproduit d'elle-même. Une fois que les identifiants d'un utilisateur ont été volés, le compte SendGrid compromis est utilisé pour envoyer d'autres e-mails en se faisant passer pour une source fiable. Comme ces comptes possèdent des enregistrements d'authentification email (SPF et DKIM) valides, les e-mails de phishing contournent souvent les filtres de sécurité, ce qui les fait paraître authentiques. L'objectif est de voler davantage d'identifiants via de fausses pages de connexion, créant ainsi un cycle de compromis continu au sein de l'écosystème SendGrid.

Google Classroom et Meet sont une cible pour les spammeurs et les scammers

Les pirates exploitent les services Google de confiance comme Classroom et Meet pour lancer des campagnes de spam et de scam à grande échelle, ciblant principalement les utilisateurs avec de fausses offres de « revendeur » ou lucratives impliquant la vente de produits ou de services.

Ces scams consistent généralement à créer de fausses classes Google Classroom ou à envoyer des invitations à des rencontres en masse, souvent intitulées avec des caractères aléatoires, mais encadrées de manière à promouvoir des opportunités de marketing ou de revenus attrayantes. Les descriptions ou invitations incluent un numéro WhatsApp, invitant les utilisateurs à les contacter.

À ce stade, le scam se transforme en fraude ou en systèmes de marketing trompeurs. En tirant parti de la crédibilité des plateformes de Google et en orientant la communication vers

WhatsApp, les pirates contournent efficacement les filtres de sécurité traditionnels et attirent les victimes dans des fraudes multiplateformes.

Comment Barracuda Email Protection peut aider votre entreprise

Barracuda Email Protection propose une suite complète de fonctionnalités conçues pour vous défendre contre les menaces e-mail avancées.

La solution comprend des fonctionnalités comme Email Gateway Defense, qui offre une protection contre l'hameçonnage et les malwares, et une impersonation protection, qui vous défend contre les attaques de social engineering.

En outre, elle offre une réponse aux incidents et une protection contre l'usurpation de domaine pour atténuer les risques liés aux comptes compromis et aux domaines frauduleux. Le service inclut également la fonctionnalité Cloud-to-Cloud Backup et une formation de sensibilisation à la sécurité dont l'objectif est d'améliorer la posture globale de l'entreprise en matière de sécurité des e-mails.

Barracuda combine l'intelligence artificielle et l'intégration avancée à Microsoft 365 dans une solution cloud complète qui offre une protection contre les attaques par phishing et par usurpation hyperciblées et potentiellement dévastatrices.

Vous trouverez plus d’informations ici.

Découvrez comment Barracuda peut vous aider à protéger votre entreprise
Billets associés :
Cybersecurity Awareness Month: Staying ahead of evolving phishing threats
Cybersecurity Awareness Month: Staying ahead of evolving phishing threats
 Email breach delays can multiply ransomware risk eight-fold
Email breach delays can multiply ransomware risk eight-fold
 Malware Brief: XWorm, TrickMo, and Remcos
Malware Brief: XWorm, TrickMo, and Remcos
 SOC Threat Radar — Octobre 2025
SOC Threat Radar — Octobre 2025

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.