Barracuda full logo

Email Threat Radar – Novembre 2025

Thèmes:
12 nov. 2025
|

Au cours du mois dernier, les analystes des menaces de Barracuda ont observé les développements notables suivants concernant les menaces par e-mail ciblant les entreprises :

  • Nouveaux outils et nouvelles tactiques pour le kit d’hameçonnage Tycoon 2FA
  • Des caractères invisibles qui aident le kit Cephas à contourner les scanners et les règles
  • Une attaque sophistiquée impliquant la stéganographie (malware dissimulé dans l’image)

Quoi de neuf dans le kit Tycoon ?

Tycoon 2FA est un kit d’hameçonnage important et performant qui continue de constituer une menace sérieuse pour les entreprises, bien qu’’il existe depuis août 2023. L’objectif principal de Tycoon est de voler les informations de connexion des comptes Microsoft 365 et, plus récemment, Google Workspace.  Il incite les employés à donner des mots de passe et des codes de vérification à deux facteurs.

Ce qui rend Tycoon dangereux, c’est la fréquence à laquelle il change. Chaque nouvelle version comprend des mises à jour petites mais astucieuses qui lui permettent d’éviter d’être détectée par les outils de sécurité traditionnels.

Voici quelques-unes des dernières modifications observées dans les versions récentes :

Défis CAPTCHA : pour paraître plus légitime et ralentir les outils de sécurité automatisés, Tycoon inclut désormais différents types de tests CAPTCHA, y compris des puzzles basés sur des images et des défis « appuyez et maintenez ».

Des URL plus réalistes : les dernières adresses web imitent les séquences de connexion réelles, y compris les liens de type OAuth2 et les codes uniques, ce qui les rend plus difficiles à repérer comme étant fausses.
Code compressé: Les pages d'hameçonnage les plus récentes utilisent une méthode appelée compression LZString pour rétrécir et cacher de grandes parties du code. Ce code est ensuite décompressé et exécuté directement dans le navigateur de la victime, ce qui rend sa détection plus difficile par les outils de sécurité.

Exécution dynamique : cela signifie que le code caché n’est entièrement révélé et exécuté qu’une fois la page chargée, ce qui lui permet de passer inaperçu.

Pour se protéger contre de telles attaques : mettez en œuvre des solutions de sécurité offrant des contrôles de sécurité multicouches. Privilégiez celles qui proposent des outils anti-phishing, une authentification adaptative et une surveillance continue afin de détecter les tactiques d’interception de type « adversary-in-the-middle » (AiTM) utilisées par des menaces comme Tycoon 2FA.

Le kit Cephas utilise des caractères invisibles pour bloquer les scanners et les règles.

Cephas est un kit d’hameçonnage émergent observé pour la première fois en août 2024. Le code comporte un nombre important de commentaires relatifs à l’astronomie et à la Bible.

Ce qui rend Cephas remarquable, c’est qu’il met en œuvre une technique d’obscurcissement distinctive et peu courante. Le kit obscurcit son code en créant des caractères invisibles aléatoires dans le code source, ce qui lui permet d’échapper aux scanners anti-hameçonnage et d’empêcher les règles YARA basées sur les signatures d’identifier précisément les méthodes d’hameçonnage.

Pour vous protéger contre de telles attaques : appliquez le MFA à tous les utilisateurs, en particulier pour les services cloud tels que Microsoft 365. Envisagez d’utiliser des méthodes résistantes au hameçonnage, telles que des clés de sécurité matérielles, plutôt que des SMS ou des codes basés sur des applications.

Un malware furtif se cache dans les images pour éviter d’être détecté.

La stéganographie est une technique d’attaque sophistiquée qui consiste à cacher des données dans un objet d’apparence inoffensive, comme une image. Contrairement au chiffrement, qui cache le contenu des données, la stéganographie cache l’existence des données. Cela rend sa détection beaucoup plus difficile.

Les analystes des menaces de Barracuda ont récemment repéré une campagne d’hameçonnage utilisant la stéganographie.

L’attaque commence par un e-mail d’hameçonnage qui ressemble à un véritable message commercial, comme une commande ou une demande de prix. Dans les échantillons analysés, les e-mails incluaient des liens vers des fichiers hébergés sur un service de partage de fichiers populaire et légitime.

Cependant, il s’agit en fait de fichiers JavaScript malveillants qui ont été fortement déguisés pour empêcher les systèmes de sécurité de les reconnaître comme dangereux.

Lorsqu’un utilisateur clique sur le lien, le fichier JavaScript est téléchargé. Le fichier contient du code caché qui a été brouillé à l’aide de caractères spéciaux et d’encodage. Une fois décodé, il révèle une commande qui lance PowerShell, un outil Windows intégré souvent utilisé par les pirates pour exécuter du code sans laisser de traces évidentes.
Cette commande PowerShell récupère une image PNG à partir d’un autre site légitime. Le véritable malware est dissimulé dans l’image, encodé de manière à être invisible aux logiciels de sécurité. 

En dissimulant des malwares dans des images et en utilisant des plateformes de confiance, les pirates contournent de nombreuses mesures de sécurité traditionnelles.

Le malware utilisé dans cette campagne d’hameçonnage exploite également plusieurs autres astuces sophistiquées pour rester dissimulé :

  • Il dissimule son code avec des noms confus et du texte brouillé.
  • Il exécute des commandes en arrière-plan sans afficher de fenêtres.
  • Il évite d’écrire quoi que ce soit sur le disque et se cache plutôt dans la mémoire de l’appareil, ce qui le rend plus difficile à repérer.

Cette attaque montre comment les menaces e-mail quotidiennes utilisent désormais des techniques avancées et subtiles, auparavant principalement associées à des pirates de haut niveau tels que les menaces persistantes avancées (APT).

Pour vous protéger contre de telles attaques : recherchez les signes d’alerte tels que l’apparition de fichiers multimédias d’une taille inhabituelle ou de fichiers contenant du contenu en double, ainsi qu’un trafic sortant inattendu ou un trafic vers des domaines inconnus.

Renforcez votre sécurité grâce à une protection des e-mails multimodale basée sur l’IA qui inclut une analyse heuristique et comportementale et peut corréler et analyser un large éventail de types de données textuelles et visuelles, notamment des URL, des documents, des images, des codes QR et bien plus encore.

Il est également conseillé de bloquer par défaut les macros dans les documents et de limiter les types de fichiers autorisés par e-mail et par téléchargement sur le web.

Comment Barracuda Email Protection peut aider votre entreprise

Barracuda Email Protection propose une suite complète de fonctionnalités conçues pour vous défendre contre les menaces e-mail avancées.

La solution comprend des fonctionnalités comme Email Gateway Defense, qui offre une protection contre l'hameçonnage et les malwares, et une impersonation protection, qui vous défend contre les attaques de social engineering.

En outre, elle offre une réponse aux incidents et une protection contre l'usurpation de domaine pour atténuer les risques liés aux comptes compromis et aux domaines frauduleux. Le service inclut également la fonctionnalité Cloud-to-Cloud Backup et une formation de sensibilisation à la sécurité dont l'objectif est d'améliorer la posture globale de l'entreprise en matière de sécurité des e-mails.

Barracuda combine l'intelligence artificielle et l'intégration avancée à Microsoft 365 dans une solution cloud complète qui offre une protection contre les attaques par phishing et par usurpation hyperciblées et potentiellement dévastatrices.

Vous trouverez plus d’informations ici.

Découvrez comment Barracuda peut vous aider à protéger votre entreprise
Billets associés :
SOC Threat Radar — December 2025
SOC Threat Radar — December 2025
 December webinars: Combating identity compromise and account takeover
December webinars: Combating identity compromise and account takeover
Barracuda Email Protection takes top honors in CRN Product of the Year Awards
Barracuda Email Protection takes top honors in CRN Product of the Year Awards
 Prédictions de sécurité pour 2026 : les techniques d’hameçonnage que les équipes en première ligne doivent anticiper
Prédictions de sécurité pour 2026 : les techniques d’hameçonnage que les équipes en première ligne doivent anticiper
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.