{"id":1609553,"date":"2025-04-03T18:36:02","date_gmt":"2025-04-03T20:36:02","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-les-attaques-de-messagerie-sur-le-theme-de-limpot-a-laide-de-pdf-et-de-codes-qr-pour-fournir-des-logiciels-malveillants\/"},"modified":"2025-04-03T18:36:07","modified_gmt":"2025-04-03T20:36:07","slug":"microsoft-met-en-garde-contre-les-attaques-de-messagerie-sur-le-theme-de-limpot-a-laide-de-pdf-et-de-codes-qr-pour-fournir-des-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-les-attaques-de-messagerie-sur-le-theme-de-limpot-a-laide-de-pdf-et-de-codes-qr-pour-fournir-des-logiciels-malveillants\/","title":{"rendered":"Microsoft met en garde contre les attaques de messagerie sur le th\u00e8me de l&#8217;imp\u00f4t \u00e0 l&#8217;aide de PDF et de codes QR pour fournir des logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Microsoft-met-en-garde-contre-les-attaques-de-messagerie-sur.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Microsoft met en garde contre plusieurs campagnes de phishing qui tirent parti des th\u00e8mes d&#8217;imp\u00f4t pour d\u00e9ployer des logiciels malveillants et voler des informations d&#8217;identification.<\/p>\n<p>&#8220;Ces campagnes utilisent notamment des m\u00e9thodes de redirection telles que les raccourcisseurs d&#8217;URL et les codes QR contenus dans des pi\u00e8ces jointes malveillantes et des services l\u00e9gitimes d&#8217;abus comme les services d&#8217;h\u00e9bergement de fichiers et les pages de profil d&#8217;entreprise pour \u00e9viter la d\u00e9tection&#8221;, Microsoft <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/04\/03\/threat-actors-leverage-tax-season-to-deploy-tax-themed-phishing-campaigns\/\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<p>Un aspect notable de ces campagnes est qu&#8217;ils conduisent \u00e0 des pages de phishing qui sont livr\u00e9es via une plate-forme de phishing en tant que service (PHAAS) <a rel=\"noopener nofollow\" href=\"https:\/\/www.morado.io\/blog-posts\/raccoono365-script-analysis\" target=\"_blank\">Raccoono365<\/a>une plate-forme de crime \u00e9lectronique qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e pour la premi\u00e8re fois d\u00e9but d\u00e9cembre 2024.<\/p>\n<p>Les chevaux de Troie (rats) \u00e0 l&#8217;acc\u00e8s \u00e0 distance sont \u00e9galement livr\u00e9s comme Remcos Rat, ainsi que d&#8217;autres cadres de logiciels malveillants et post-exploitation tels que Latrodectus, Ahkbot, Guloder et Bruteratel C4 (BRC4).<\/p>\n<p>On estime que l&#8217;une de ces campagnes rep\u00e9r\u00e9es par le g\u00e9ant de la technologie le 6 f\u00e9vrier 2025 aurait envoy\u00e9 des centaines de courriels ciblant les \u00c9tats-Unis avant la saison des d\u00e9clarations de revenus qui a tent\u00e9 de livrer BRC4 et Latrodectus. L&#8217;activit\u00e9 a \u00e9t\u00e9 attribu\u00e9e \u00e0 Storm-0249, un courtier d&#8217;acc\u00e8s initial auparavant connu pour avoir distribu\u00e9 Bazaloader, Icedid, Bumblebee et Emotet.<\/p>\n<p>Les attaques impliquent l&#8217;utilisation de pi\u00e8ces jointes PDF contenant un lien qui redirige les utilisateurs vers une URL raccourcie via le changement de nom, les conduisant finalement \u00e0 une fausse page Docuusign avec une option pour afficher ou t\u00e9l\u00e9charger le document.<\/p>\n<p>&#8220;Lorsque les utilisateurs ont cliqu\u00e9 sur le bouton de t\u00e9l\u00e9chargement sur la page de destination, le r\u00e9sultat d\u00e9pendait de savoir si leur syst\u00e8me et leur adresse IP \u00e9taient autoris\u00e9s \u00e0 acc\u00e9der \u00e0 l&#8217;\u00e9tape suivante en fonction des r\u00e8gles de filtrage configur\u00e9es par l&#8217;acteur de la menace&#8221;, a d\u00e9clar\u00e9 Microsoft.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Pres-de-24-000-IPS-Target-Pan-OS-GlobalProtect-dans-la.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Si l&#8217;acc\u00e8s est autoris\u00e9, l&#8217;utilisateur re\u00e7oit un fichier JavaScript qui t\u00e9l\u00e9charge par la suite un programme d&#8217;installation de logiciel Microsoft (MSI) pour BRC4, qui sert de conduit pour le d\u00e9ploiement de Latrodectus. Si la victime n&#8217;est pas consid\u00e9r\u00e9e[.]com.<\/p>\n<p>Microsoft a d\u00e9clar\u00e9 qu&#8217;il a \u00e9galement d\u00e9tect\u00e9 une deuxi\u00e8me campagne entre le 12 et le 28 f\u00e9vrier 2025, o\u00f9 des courriels de phishing sur le th\u00e8me des imp\u00f4ts ont \u00e9t\u00e9 envoy\u00e9s \u00e0 plus de 2 300 organisations aux \u00c9tats-Unis, en particulier des secteurs d&#8217;ing\u00e9nierie, d&#8217;informatique et de conseil.<\/p>\n<p>Les e-mails, dans ce cas, n&#8217;avaient aucun contenu dans le corps du message, mais pr\u00e9sentaient une pi\u00e8ce jointe PDF contenant un code QR qui indiquait un lien associ\u00e9 au Raccoono365 PHAAS qui imite les pages de connexion Microsoft 365 pour inciter les utilisateurs \u00e0 entrer leurs informations d&#8217;identification.<\/p>\n<p>Dans un signe que ces campagnes se pr\u00e9sentent sous diverses formes, les e-mails de phishing sur le th\u00e8me des imp\u00f4ts ont \u00e9galement \u00e9t\u00e9 signal\u00e9s comme propageant d&#8217;autres familles de logiciels malveillants comme Ahkbot et Guloder.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743712560_563_Microsoft-met-en-garde-contre-les-attaques-de-messagerie-sur.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743712560_563_Microsoft-met-en-garde-contre-les-attaques-de-messagerie-sur.jpg\" alt=\"\" border=\"0\" data-original-height=\"560\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Il a \u00e9t\u00e9 constat\u00e9 que les cha\u00eenes d&#8217;infection AHKBOT dirigent les utilisateurs vers des sites h\u00e9bergeant un fichier Microsoft Excel malveillant qui, en ouvrant et en permettant aux macros, t\u00e9l\u00e9chargements et ex\u00e9cute un fichier MSI afin de lancer un script AutoHotKey, qui t\u00e9l\u00e9charge ensuite un module d&#8217;\u00e9cran pour un serveur distant.<\/p>\n<p>La campagne Guloader vise \u00e0 tromper les utilisateurs en cliquant sur une URL pr\u00e9sente dans une pi\u00e8ce jointe de messagerie PDF, ce qui entra\u00eene le t\u00e9l\u00e9chargement d&#8217;un fichier zip.<\/p>\n<p>&#8220;Le fichier zip contenait divers fichiers .lnk configur\u00e9s pour imiter les documents fiscaux. Si elle est lanc\u00e9e par l&#8217;utilisateur, le fichier .lnk utilise PowerShell pour t\u00e9l\u00e9charger un fichier PDF et .bat&#8221;, a d\u00e9clar\u00e9 Microsoft. &#8220;Le fichier .bat \u00e0 son tour a t\u00e9l\u00e9charg\u00e9 l&#8217;ex\u00e9cutable Guloader, qui a ensuite install\u00e9 des remcos.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743712561_182_Microsoft-met-en-garde-contre-les-attaques-de-messagerie-sur.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743712561_182_Microsoft-met-en-garde-contre-les-attaques-de-messagerie-sur.jpg\" alt=\"\" border=\"0\" data-original-height=\"616\" data-original-width=\"979\"\/><\/a><\/div>\n<p>Le d\u00e9veloppement intervient des semaines apr\u00e8s que Microsoft a mis en garde contre une autre campagne Storm-0249 qui a redirig\u00e9 les utilisateurs vers des sites Web de faux sites Web Windows 11 Pro pour livrer une version mise \u00e0 jour du malware Latrodectus Loader via l&#8217;outil d&#8217;\u00e9quipe rouge Bruteratel.<\/p>\n<p>&#8220;L&#8217;acteur de menace a probablement utilis\u00e9 Facebook pour g\u00e9n\u00e9rer du trafic vers les fausses pages de t\u00e9l\u00e9chargement de Windows 11 Pro, car nous avons observ\u00e9 des URL de r\u00e9f\u00e9rences Facebook dans plusieurs cas&#8221;, Microsoft <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/MsftSecIntel\/status\/1903174779856883903\" target=\"_blank\">dit<\/a> Dans une s\u00e9rie de messages sur X.<\/p>\n<p>&#8220;Latrodectus 1.9, la derni\u00e8re \u00e9volution du malware observ\u00e9e pour la premi\u00e8re fois en f\u00e9vrier 2025, a r\u00e9introduit la t\u00e2che planifi\u00e9e de persistance et ajout\u00e9 la commande 23, permettant l&#8217;ex\u00e9cution des commandes Windows via &#8216;cmd.exe \/ c.&#8217; &#8216;<\/p>\n<p>La divulgation suit \u00e9galement une augmentation des campagnes qui utilisent des codes QR dans des documents de phishing pour masquer les URL malveillants dans le cadre d&#8217;attaques g\u00e9n\u00e9ralis\u00e9es destin\u00e9es \u00e0 l&#8217;Europe et aux \u00c9tats-Unis, entra\u00eenant un vol d&#8217;identification.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;L&#8217;analyse des URL extraites des codes QR dans ces campagnes r\u00e9v\u00e8le que les attaquants \u00e9vitent g\u00e9n\u00e9ralement d&#8217;inclure des URL qui pointent directement vers le domaine de phishing&#8221;, Palo Alto Networks Unit 42 <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/qr-code-phishing\/\" target=\"_blank\">dit<\/a> dans un rapport. &#8220;Au lieu de cela, ils utilisent souvent des m\u00e9canismes de redirection d&#8217;URL ou exploitent <a rel=\"noopener nofollow\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/601.html\" target=\"_blank\">Redirection ouverte<\/a> sur des sites Web l\u00e9gitimes. &#8220;<\/p>\n<p>Ces r\u00e9sultats interviennent \u00e9galement \u00e0 la suite de plusieurs campagnes de phishing et d&#8217;ing\u00e9nierie sociale qui ont \u00e9t\u00e9 signal\u00e9es ces derni\u00e8res semaines &#8211;<\/p>\n<ul>\n<li>Utilisation de la technique du navigateur dans le navigateur (BITB) <a rel=\"noopener nofollow\" href=\"https:\/\/www.silentpush.com\/blog\/browser-in-the-browser-attacks\/\" target=\"_blank\">servir<\/a> Des fen\u00eatres de navigateur apparemment r\u00e9alistes qui trompent les joueurs de Counter-Strike 2 dans la saisie de leurs informations d&#8217;identification \u00e0 vapeur dans l&#8217;objectif probable de revendre l&#8217;acc\u00e8s \u00e0 ces comptes \u00e0 but lucratif<\/li>\n<li>Utilisation du malware du voleur d&#8217;informations pour <a rel=\"noopener nofollow\" href=\"https:\/\/constella.ai\/cybercriminals-are-exploiting-email-marketing-platforms\/\" target=\"_blank\">Comptes de hijack MailChimp<\/a>permettant aux acteurs de la menace d&#8217;envoyer des e-mails en vrac<\/li>\n<li>Usage de <a rel=\"noopener nofollow\" href=\"https:\/\/www.forcepoint.com\/blog\/x-labs\/obfuscated-svg-files-redirect-victims\" target=\"_blank\">Fichiers SVG<\/a> pour contourner les filtres de spam et rediriger les utilisateurs vers des pages de connexion Microsoft<\/li>\n<li>Usage de <a rel=\"noopener nofollow\" href=\"https:\/\/cofense.com\/blog\/threat-actors-abuse-trust-in-cloud-collaboration-platforms\" target=\"_blank\">Services de collaboration de confiance<\/a> Comme Adobe, DocuSign, Dropbox, Canva et Zoho pour contourner les passerelles e-mail s\u00e9curis\u00e9es (SEGS) et voler des informations d&#8217;identification<\/li>\n<li>Usage de <a rel=\"noopener nofollow\" href=\"https:\/\/cofense.com\/blog\/more-than-music-the-unseen-cybersecurity-threats-of-streaming-services\" target=\"_blank\">e-mail des services de streaming musicaux par e-mail<\/a> Comme Spotify et Apple Music dans le but de r\u00e9colter les informations d&#8217;identification et les informations de paiement<\/li>\n<li>Utilisation de faux avertissements de s\u00e9curit\u00e9 li\u00e9s \u00e0 une activit\u00e9 suspecte sur <a rel=\"noopener nofollow\" href=\"https:\/\/layerxsecurity.com\/blog\/layerx-labs-identifies-new-zero-hour-phishing-attack-mimicking-microsoft-security-notifications\/\" target=\"_blank\">Fen\u00eatre<\/a> et <a rel=\"noopener nofollow\" href=\"https:\/\/layerxsecurity.com\/blog\/layerx-identifies-new-phishing-campaign-targeted-at-mac-users\/\" target=\"_blank\">Pomme mac<\/a> Appareils sur des sites Web faux pour tromper les utilisateurs \u00e0 fournir leurs informations d&#8217;identification syst\u00e8me<\/li>\n<li>Usage de <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-03-19-IOCs-for-Chinese-Language-trojanized-installers.txt\" target=\"_blank\">faux sites Web<\/a> Distribution des installateurs de Windows Trrojanis\u00e9s pour Deepseek, I4Tools et Youdao Dictionary Desktop Edition That Drop Gh0st Rat<\/li>\n<li>Usage de <a rel=\"noopener nofollow\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/darkcloud-stealer-via-tar-archives-in-multi-sector-spanish-email-campaign\" target=\"_blank\">e-mails de phishing sur le th\u00e8me de la facturation<\/a> cibler les entreprises espagnoles pour distribuer un voleur d&#8217;informations nomm\u00e9 DarkCloud<\/li>\n<li>Usage de <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/masslogger-bank-themed-phishing-primarily-targets-romania-with-broader-european-reach\" target=\"_blank\">e-mails de phishing imitant une banque roumaine<\/a> Pour d\u00e9ployer un voleur d&#8217;informations appel\u00e9 MassLogger Cibunting Organization situ\u00e9 en Roumanie<\/li>\n<\/ul>\n<p>Pour att\u00e9nuer les risques pos\u00e9s par ces attaques, il est essentiel que les organisations adoptent des m\u00e9thodes d&#8217;authentification r\u00e9sistantes au phishing pour les utilisateurs, utilisent des navigateurs qui peuvent bloquer les sites Web malveillants et permettre la protection du r\u00e9seau pour emp\u00eacher les applications ou les utilisateurs d&#8217;acc\u00e9der \u00e0 des domaines malveillants.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/microsoft-warns-of-tax-themed-email.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft met en garde contre plusieurs campagnes de phishing qui tirent parti des th\u00e8mes d&#8217;imp\u00f4t pour d\u00e9ployer des logiciels malveillants et voler des informations d&#8217;identification. &#8220;Ces campagnes utilisent notamment des m\u00e9thodes de redirection telles que les raccourcisseurs d&#8217;URL et les codes QR contenus dans des pi\u00e8ces jointes malveillantes et des services l\u00e9gitimes d&#8217;abus comme les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1609554,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8074,44043,4168,841,79002,274264,4161,274263,6124,133,6670,525,1151,65,27857,4589,4590,274267,6817,4955,8362,4160,29172,185,238617,246491,4172,60,79016,12465,4166,4164],"class_list":["post-1609553","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaques","tag-codes","tag-comment-pirater","tag-contre","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-fournir","tag-garde","tag-laide","tag-les","tag-limpot","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-messagerie","tag-met","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-pdf","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sur","tag-the-hacker-news","tag-theme","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1609553","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1609553"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1609553\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1609554"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1609553"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1609553"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1609553"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}