Barracuda full logo

Threat Spotlight : CypherLoc, un scareware avancé de verrouillage du navigateur ciblant des millions d’utilisateurs

Thèmes:
20 mai 2026
Megharaj Balaraddi

Barracuda Research détaille un kit d’attaque web combinant charges utiles chiffrées, contrôles agressifs du navigateur et tactiques de forte pression

Ce qu’il faut retenir

  • CypherLoc est un scareware sophistiqué de verrouillage du navigateur, conçu pour pousser les victimes à appeler de fausses lignes d’assistance technique.
  • Il échappe aux scanners et aux bacs à sable grâce à une exécution chiffrée et conditionnelle au sein du navigateur.
  • Les équipes de sécurité doivent disposer de protections robustes contre le phishing, ainsi que de protections navigateur et endpoint, et donner la priorité à la sensibilisation des utilisateurs.

Barracuda Research, la branche de renseignement sur les menaces de Barracuda, a identifié CypherLoc, un kit de scareware sophistiqué basé sur le web qui combine des techniques d’évasion avancées, des contrôles agressifs du navigateur et une manipulation psychologique : l’objectif étant de pousser les victimes à appeler de faux numéros d’assistance technique.

Depuis le début de l’année 2026, les chercheurs de Barracuda ont observé environ 2,8 millions d’attaques impliquant ce kit.

CypherLoc montre comment les scarewares ont évolué, passant de simples scams à écran figé à des cadres d’attaque furtifs résidant dans le navigateur, qui reposent sur la peur de l’utilisateur plutôt que sur l’installation de malwares. Dans le cas de CypherLoc, cela inclut l’utilisation nouvelle et innovante de chargeurs chiffrés, d’une exécution déclenchée par hash et du remplacement de page pendant l’exécution opérationnelle.

Le déroulement d’une attaque

L’attaque commence généralement par un e-mail de phishing qui dirige la victime vers une page web malveillante au moyen d’un lien intégré soit dans le corps du message, soit dans une pièce jointe.

La page web semble initialement inoffensive, mais se transforme progressivement en un environnement de scareware entièrement contrôlé. Le déclencheur de cette transformation est caché dans la page web et ne se déchiffre que si certaines conditions sont remplies (comme expliqué ci-dessous). Si ces conditions sont réunies, la page se transforme en une interface de scareware en plein écran qui verrouille le navigateur, affiche des messages de sécurité alarmants et exhorte l’utilisateur à contacter immédiatement l’assistance.

Si quelqu’un tente d’inspecter ou d’examiner la page pendant son exécution, celle-ci provoque délibérément un ralentissement, des dysfonctionnements ou une instabilité du navigateur. Pour la victime, cela renforce l’illusion d’un problème système grave.  

Le flux ci-dessous illustre la transformation allant de l’accès initial jusqu’au verrouillage complet du navigateur.

Légende : Flux d’exécution de CypherLoc. Illustration générée par IA à des fins pédagogiques.

Techniques principales qui rendent CypherLoc difficile à détecter

Une charge utile chiffrée, déclenchée par hash, dissimulée dans la page web

CypherLoc dissimule sa véritable fonctionnalité dans une charge utile chiffrée intégrée directement à la page web. Le code ne se déchiffre que lorsque la page est ouverte dans les bonnes conditions : lorsque le fragment d’URL requis est présent et que la page réussit une série de contrôles d’intégrité cryptographiques.

Si le fragment caché est absent ou si la page est ouverte dans un scanner, un bac à sable ou un environnement de test, la charge utile malveillante refuse de s’exécuter et la page redirige vers un écran vide. Cela permet de dissimuler l’attaque aux outils de sécurité. 

Légende : Chargeur JavaScript chiffré utilisé dans CypherLoc pour valider, déchiffrer et exécuter la charge utile cachée.

Une analyse plus technique, basée sur le code, du flux d’exécution initial est incluse dans le tableau à la fin de cet article.

Remplacement de la page d'exécution

La page qui se charge initialement n’est pas la page finale du scareware. Après un déchiffrement réussi, la page d’origine s’efface elle-même et place une page entièrement nouvelle dans le navigateur. Cette transformation soudaine réinitialise les scripts et interrompt l’inspection en direct, ce qui donne à la page une impression de danger et d’instabilité.

Verrouillage agressif du navigateur

CypherLoc restreint activement l’activité de l’utilisateur en prenant le contrôle en mode plein écran, en désactivant les menus contextuels, en masquant le curseur et en recouvrant l’écran de superpositions. Toute tentative de reprendre le contrôle déclenche immédiatement un comportement de « reverrouillage », créant une forte impression d’enfermement.

La pression sonore

La fausse page de sécurité joue automatiquement des sons d’avertissement chaque fois que l’utilisateur clique, que la page passe en plein écran ou qu’elle se recharge. Ce bruit et cette activité supplémentaires peuvent ralentir le navigateur, le rendre instable, voire le faire planter, ce qui complique l’analyse.

Affichage de l’adresse IP pour donner une impression de personnalisation

CypherLoc récupère l’adresse IP publique de la victime au chargement de la page et l’affiche sur la page d’accueil. L’affichage de cette adresse IP est une tactique psychologique conçue pour donner l’impression que l’avertissement est personnalisé et renforcer le sentiment de peur et d’urgence. Même si aucune exploitation technique n’est impliquée, la présence de l’adresse IP de la victime renforce l’illusion que le système est activement suivi.

Faux formulaires de connexion comme appât de légitimité

Dans CypherLoc, des formulaires de connexion sont présentés aux victimes et leur demandent de saisir des noms d’utilisateur et des mots de passe. Ces informations ne sont jamais traitées. Leur objectif est, là encore, purement psychologique : ils donnent à la menace une apparence légitime, maintiennent la victime plus longtemps sur la page et renforcent le sentiment de panique lorsque la saisie des identifiants ne résout pas le problème.

Légende : Exemple de formulaire de connexion usurpé dans une attaque CypherLoc.

Rediriger les victimes vers de fausses lignes d’assistance technique

Un faux numéro d’assistance est affiché de manière bien visible à l’écran tout au long de l’attaque et présenté comme le seul moyen de résoudre le problème. Lorsque les victimes appellent ce numéro, des opérateurs humains se faisant passer pour le support de Microsoft prennent le relais et poursuivent le scam dans le cadre d’une conversation en direct.

Analyse et perturbation du navigateur

Une forte activité est déclenchée si quelqu’un ouvre les outils de développement, en particulier l’onglet Réseau. Les ressources se rechargent, les pipelines multimédias redémarrent et les recalculs de mise en page se produisent à répétition. Le bruit ainsi généré submerge les outils d’analyse et entraîne une instabilité du navigateur ainsi que des boîtes de dialogue d’erreur système.

Légende : Boîte de dialogue d’erreur système dans une attaque CypherLoc.

Ce que CypherLoc révèle sur l'évolution du scareware

CypherLoc montre comment les scarewares modernes s’éloignent des malwares évidents pour se tourner vers des attaques basées sur le navigateur et la manipulation des utilisateurs, difficiles à détecter et très efficaces.

CypherLoc s’appuie sur la furtivité et l’inquiétude des utilisateurs, en utilisant le navigateur pour pousser les victimes à se faire piéger elles-mêmes. En combinant chiffrement, exécution conditionnelle, abus agressif de l’interface utilisateur et perturbation de l’analyse, il crée une illusion convaincante de compromission du système tout en conservant une empreinte technique propre et un profil réseau discret.

Que peuvent faire les organisations pour rester en sécurité

Les équipes de sécurité doivent s’assurer qu’elles disposent de protections robustes contre le phishing, ainsi que de protections navigateur et endpoint capables de détecter et de bloquer tout comportement de script suspect. La sensibilisation des utilisateurs est tout aussi importante, car les alertes de sécurité légitimes n’affichent pas de numéros de téléphone, ne verrouillent pas les navigateurs et n’exigent pas d’action immédiate via des pop-ups.

Alors que les pirates délaissent les malwares traditionnels au profit d’attaques basées sur le navigateur et pilotées par l’utilisateur, les organisations ont besoin de contrôles qui protègent les utilisateurs, et pas seulement les appareils. Le scareware CypherLoc est un exemple clair de menace située à l’intersection du phishing, du social engineering et de l’évasion technique.

Une analyse plus technique, basée sur le code, du flux d'exécution initial

Chaîne de code technique

Description de l'activité

document.getElementById('enc_...')

blobNode.textContent.trim()

Il extrait la charge utile chiffrée d’un élément HTML caché sur la page (en lisant le contenu texte qui contient le « blob » chiffré).

if(!blob || !location.hash)

Il vérifie que les deux prérequis sont présents : (1) le blob chiffré et (2) le « hash/fragment » de l’URL (c’est-à-dire la partie située après le signe #). Si l’un des deux est absent, il s’arrête et redirige vers une page vide.

CryptoJS.enc.Base64.parse(blob)

 

Il décode en Base64 le blob chiffré afin de pouvoir le diviser en plusieurs parties (par exemple l’IV, le texte chiffré et la valeur d’intégrité).

 

raw.words.slice(0,4)

Il extrait la partie correspondant au vecteur d’initialisation, ou IV, des données décodées (il s’agit de l’un des composants nécessaires au déchiffrement AES).

 

CryptoJS.HmacSHA256(iv.concat(c), h)

CryptoJS.enc.Hex.stringify(...)

Il recalcule un HMAC (c’est-à-dire un contrôle d’intégrité) sur les données chiffrées et le compare à la valeur intégrée afin de confirmer que le blob n’a pas été modifié. Si les valeurs ne correspondent pas, l’exécution échoue.

CryptoJS.AES.decrypt(...)

CryptoJS.SHA256(location.hash.slice(1))

Il déchiffre la charge utile à l’aide d’AES, avec une clé dérivée du fragment d’URL (hash) de sorte que le déchiffrement ne fonctionne correctement que lorsque la bonne valeur #… est présente.

CryptoJS.enc.Utf8.stringify(decrypted)

Il convertit la sortie déchiffrée en une chaîne JavaScript utilisable (afin qu’elle puisse être exécutée).

history.replaceState(...)

Il supprime le fragment d’URL de la barre d’adresse et de l’historique (ce qui réduit les traces évidentes de la valeur de déclenchement et rend l’analyse plus difficile).

(0, eval)(code)

Il exécute le JavaScript déchiffré dans le navigateur, lançant ainsi la logique de scareware cachée.
Renseignements exploitables de Barracuda Research
Megharaj Balaraddi

Megharaj Balaraddi est analyste adjoint des menaces au sein de l’équipe d’analyse des menaces de Barracuda Networks. Il est titulaire d'un diplôme d'ingénieur en électronique et communications et se passionne pour anticiper les menaces émergentes, les projets de piratage éthique et l'exploration d'approches novatrices en matière de cyberdéfense.

Billets associés :
Nightmare-Eclipse: six zero-days, six weeks and one big grudge
Nightmare-Eclipse: six zero-days, six weeks and one big grudge
 Tendances en matière d’exploit et de découverte de vulnérabilités pilotée par l’IA
Tendances en matière d’exploit et de découverte de vulnérabilités pilotée par l’IA
 Barracuda apporte la réponse automatisée aux menaces dans votre boîte de réception
Barracuda apporte la réponse automatisée aux menaces dans votre boîte de réception
 Étude de cas Sopartex : meilleure protection, moins de surcharge informatique
Étude de cas Sopartex : meilleure protection, moins de surcharge informatique
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.