Attention ! Les attaques de phishing deviennent plus intelligentes grâce à la validation des e-mails en temps réel.
Les cybercriminels placent la barre encore plus haut avec une nouvelle approche inquiétante du vol d'identifiants : la validation des e-mails en temps réel rend les attaques de phishing plus efficaces et plus difficiles à détecter. Des chercheurs de Cofense ont identifié cette tactique en pleine évolution et l'ont baptisée « phishing à validation de précision » : une méthode qui restreint la liste cible aux seules adresses e-mail confirmées comme actives et pertinentes.
Contrairement aux campagnes d'hameçonnage traditionnelles qui ratissent large et espèrent quelques piqûres, cette nouvelle approche est précise et délibérée. Au lieu d'envoyer des pages de connexion frauduleuses à des utilisateurs aléatoires, les attaquants vérifient d'abord que l'adresse e-mail saisie sur une page d'hameçonnage existe dans leur base de données de cibles pré-récoltées. Si elle est vérifiée, la victime se voit présenter un faux écran de connexion conçu pour voler ses identifiants. Dans le cas contraire, elle est redirigée vers un site inoffensif comme Wikipédia, ce qui permet au site d'hameçonnage d'échapper à la détection des scanners de sécurité automatisés.
Cette vérification en temps réel est rendue possible grâce à l'intégration d'une API ou d'un outil de validation des e-mails basé sur JavaScript au kit d'hameçonnage. Résultat ? Des données volées de meilleure qualité, moins d'efforts inutiles et une campagne d'hameçonnage plus difficile à détecter et à déjouer pour les outils de cybersécurité.
Table des matières
Filtrer les victimes pour un impact maximal
Cofense prévient que cette technique non seulement augmente les risques de vol d'identifiants de comptes réels et en cours d'utilisation, mais complique également le travail des sandboxes automatisés et des outils d'exploration conçus pour détecter les sites web malveillants. Ces systèmes échouent souvent au contrôle de validation, ce qui permet à la page d'hameçonnage de rester active plus longtemps et d'éviter d'être signalée comme suspecte.
Ce niveau de filtrage confère aux acteurs malveillants un avantage majeur. En ciblant les cibles vérifiées, ils réduisent leur risque d'exposition et augmentent leur retour sur investissement. Cette tactique contribue également à prolonger la durée de vie des campagnes de phishing, rendant ainsi la tâche plus difficile aux défenseurs.
L'astuce de phishing pour la suppression de fichiers utilise une attaque à deux volets
Pour accentuer le danger, les attaquants associent ces tactiques avancées à des stratégies d'ingénierie sociale. Une campagne récemment observée utilise des rappels de suppression de fichiers comme appât. Les victimes reçoivent un e-mail semblant contenir un lien vers un PDF dont la suppression est programmée sur une plateforme d'hébergement de fichiers légitime, files.fm. En cliquant sur le lien, elles sont redirigées vers le véritable service d'hébergement, où elles peuvent accéder à ce qui ressemble à un fichier PDF.
Le problème est le suivant : les utilisateurs ont le choix entre deux options : prévisualiser ou télécharger. La prévisualisation ouvre une fausse page de connexion Microsoft destinée à collecter des identifiants, tandis que le téléchargement déclenche l'installation d'un exécutable se faisant passer pour Microsoft OneDrive. Il s'agit en réalité de ScreenConnect, un outil de bureau à distance légitime de ConnectWise, souvent utilisé abusivement par des pirates informatiques pour accéder à des fichiers non autorisés.
Selon Cofense, l'attaque est astucieusement conçue pour manipuler le comportement des utilisateurs. Les victimes sont contraintes de choisir entre deux options tout aussi dangereuses, chacune menant à la compromission de leur système de manière différente. Cette double configuration garantit que l'attaquant atteint son objectif, qu'il s'agisse d'un vol d'identifiants ou du déploiement d'un logiciel malveillant.
Hameçonnage combiné à des tactiques d'accès à distance et de vishing
Dans un autre développement alarmant, des chercheurs en cybersécurité ont découvert une campagne d'attaque en plusieurs étapes combinant hameçonnage, escroqueries téléphoniques (vishing), outils d'accès à distance et techniques de « vivre de la terre ». Cette opération sophistiquée s'inscrit dans la lignée du groupe d'acteurs malveillants Storm-1811 (également connu sous le nom de STAC5777).
L'attaque commence par un message Microsoft Teams contenant une charge utile PowerShell malveillante. Une fois l'accès initial obtenu, les attaquants utilisent la fonction Quick Assist de Microsoft pour contrôler le système à distance. Ils installent ensuite un logiciel légitime comme TeamViewer, ainsi qu'une DLL malveillante téléchargée latéralement, et enfin déploient une porte dérobée de type commande-contrôle basée sur JavaScript, utilisant Node.js.
Ces incidents mettent en évidence la complexité et la créativité croissantes des menaces d'hameçonnage actuelles. Grâce à des tactiques alliant sophistication technique et manipulation psychologique, les attaquants parviennent à contourner les défenses traditionnelles et à tromper même les utilisateurs les plus prudents.
La meilleure défense reste la vigilance. Les organisations doivent se tenir informées de ces menaces émergentes, et les utilisateurs doivent y réfléchir à deux fois avant de cliquer sur des liens, de saisir des identifiants ou de télécharger des fichiers, aussi légitimes soient-ils.