Une nouvelle campagne d'attaque de phishing, ciblant les utilisateurs de Mac et identifiée par LayerX Labs, montre les épreuves et les tribulations de la lutte contre le phishing en ligne, et comment les attaques se transforment et évoluent en réponse aux adaptations des outils de sécurité.

Depuis quelques mois, LayerX surveille une campagne de phishing sophistiquée qui ciblait initialement les utilisateurs Windows en se faisant passer pour des alertes de sécurité Microsoft. L'objectif de cette campagne était de voler les identifiants des utilisateurs en employant des tactiques trompeuses faisant croire aux victimes que leurs ordinateurs étaient compromis.

Désormais, avec les nouvelles fonctionnalités de sécurité déployées par Microsoft, Chrome et Firefox, les attaquants se concentrent désormais sur les utilisateurs de Mac.

Acte I : Cibler les utilisateurs Windows

L'attaque de phishing initiale impliquait des sites web compromis affichant de faux avertissements de sécurité affirmant que l'ordinateur de l'utilisateur était « compromis » et « verrouillé ». Les attaquants invitaient les utilisateurs à saisir leur nom d'utilisateur et leur mot de passe Windows. Simultanément, un code malveillant figeait la page web, créant l'illusion que l'ordinateur était entièrement verrouillé.

 

LayerX a déjà écrit sur cette campagne de notre blog.

Pourquoi cette campagne a été difficile à arrêter :

  1. Hébergé sur une plateforme Microsoft – Les pages d'hameçonnage étaient hébergées sur la plateforme Windows.net de Microsoft (une plateforme ouverte de Microsoft pour l'hébergement d'applications Azure). Dans le contexte de l'attaque, cela donnait l'impression que les messages étaient légitimes, puisqu'il s'agissait d'avertissements de sécurité (supposés) de Microsoft, provenant d'une page d'un domaine Windows[.]net.
  2. Exploiter les services d'hébergement – Une autre tactique courante utilisée par les attaquants dans ce cas consistait à utiliser un service d'hébergement fiable comme infrastructure sous-jacente pour les pages malveillantes. En effet, les défenses anti-hameçonnage traditionnelles, telles que les passerelles web sécurisées (SWG) et les solutions de sécurité de messagerie, évaluent souvent le risque des pages en fonction de la réputation du domaine de premier niveau (TLD). Dans ce cas précis, le TLD (windows[.]net) est une plateforme bien connue et très utilisée par un fournisseur réputé (Microsoft), avec un score de réputation élevé. Par conséquent, ces pages ont pu contourner les mécanismes de protection traditionnels.
  3. Sous-domaines aléatoires à évolution rapide – sous le domaine général de premier niveau windows[.]net, les attaquants diffusaient leur code malveillant à partir de sous-domaines aléatoires et en constante évolution. Ainsi, même si une page était signalée comme malveillante et placée dans des flux de pages malveillantes, elle était rapidement supprimée et remplacée par une autre URL à la réputation « propre ». Grâce à l'aléatoire élevé des URL des sous-domaines, les attaquants pouvaient répéter l'opération à l'infini, tout en maintenant l'attaque.
  4. Conception très sophistiquée – Contrairement aux pages de phishing classiques, celles-ci étaient bien conçues, professionnelles et fréquemment mises à jour pour éviter d’être détectées par les outils de sécurité s’appuyant sur des signatures de phishing connues.
  5. Technologies anti-bot et CAPTCHA – Dans certaines variantes, LayerX a observé que le code de la page incluait une vérification anti-bot et CAPTCHA. Cela visait à bloquer les robots d'indexation automatisés des protections anti-hameçonnage et à retarder la classification de la page comme malveillante.

Le résultat a été une campagne sophistiquée, très efficace et durable. LayerX la suit depuis plus d'un an. Cependant, fin 2024 et début 2025, nous avons constaté une augmentation de son intensité et de son volume, témoignant de son efficacité.

Microsoft l'a également remarqué, en introduisant en février 2025 une nouvelle fonctionnalité « anti-scareware » dans le navigateur Edge pour lutter contre ces attaques. À la même époque, des protections similaires ont été mises en place dans Chrome et Firefox.

Acte II : De nouvelles protections rendent l'ancienne campagne inutile

Suite à l’introduction de ces protections de navigateur, LayerX a observé une baisse drastique de 90 % des attaques ciblant Windows.

LayerX observait encore des pages malveillantes similaires, ce qui signifiait que l'infrastructure de la campagne était toujours en ligne. Cependant, les utilisateurs n'y accédaient pas.
Nous attribuons cette baisse aux nouvelles fonctionnalités « anti-scareware » de Microsoft (et d'autres), qui bloquaient ces attaques.

Acte III : La campagne se transforme pour cibler les utilisateurs de Mac

Cependant, il semble que LayerX n’ait pas été le seul à observer une baisse du taux de réussite des attaques : les pirates informatiques à l’origine de cette attaque l’ont également remarqué.

Leur réponse : modifier la campagne pour cibler un groupe d’utilisateurs non protégés – dans ce cas : les utilisateurs Mac.

Dans les deux semaines suivant le déploiement par Microsoft des nouvelles défenses anti-phishing, LayerX a commencé à observer des attaques contre les utilisateurs de Mac, qui – apparemment – ​​n’étaient pas couverts par ces nouvelles défenses.

 

Jusqu'à présent, LayerX n'avait pas observé d'attaques sur Mac, mais uniquement contre les utilisateurs Windows.

Les nouvelles tentatives de phishing étaient visuellement presque identiques aux attaques ciblant les utilisateurs de Windows, à l'exception de quelques modifications critiques :

  • Mise en page et messagerie de la page de phishing repensées pour paraître légitime aux yeux des utilisateurs de Mac.
  • Ajustements des codes pour cibler spécifiquement les utilisateurs de macOS et de Safari en exploitant les paramètres HTTP OS et de l'agent utilisateur.
  • Utilisation continue de l'infrastructure Windows[.]net, maintenant l’illusion de la légitimité.

Comment les victimes ont été attirées

L'enquête de LayerX a révélé que les victimes étaient redirigées vers les pages de phishing via des pages de « stationnement » de domaine compromis :

  1. La victime a tenté d’accéder à un site Web légitime.
  2. Une faute de frappe dans l'URL les a conduits vers une page de stationnement de domaine compromise.
  3. La page les a rapidement redirigés vers plusieurs sites avant d'atterrir sur la page d'attaque de phishing.

Dans un cas précis, la victime était un utilisateur de macOS et de Safari travaillant pour une entreprise cliente de LayerX. Malgré l'utilisation d'une passerelle web sécurisée (SWG) par l'organisation, l'attaque l'a contournée. Cependant, le système de détection basé sur l'IA de LayerX, qui analyse les pages web à l'aide de plus de 250 paramètres au niveau du navigateur, a identifié et bloqué la page malveillante avant qu'elle ne soit endommagée.

Acte IV : La bataille continue

Les nouvelles attaques ciblant les Mac ont nécessité des modifications relativement minimes de la part des pirates de leur infrastructure existante – principalement des modifications de texte et quelques modifications de code pour cibler les utilisateurs de MacOS et de Safari.

Cette campagne d’attaque souligne deux points critiques :

  1. Les utilisateurs de Mac et de Safari sont désormais des cibles de choix – Bien que des campagnes de phishing ciblant les utilisateurs de Mac aient déjà existé, elles ont rarement atteint ce niveau de sophistication.
  2. Les cybercriminels sont très adaptables – À mesure que les mesures de sécurité évoluent, les attaquants continuent de modifier leurs tactiques, prouvant que les organisations ont besoin de solutions de sécurité avancées et proactives.

Compte tenu de la longévité, de la complexité et de la sophistication dont ont fait preuve jusqu’à présent les acteurs derrière cette campagne d’attaque, nous soupçonnons qu’il ne s’agit que d’une première réponse de leur part, alors qu’ils adaptent leurs attaques à de nouvelles défenses.

Nous prévoyons que dans les semaines ou les mois à venir, nous assisterons à une vague résurgente d’attaques basées sur cette infrastructure alors qu’elle sonde et teste les points faibles des nouvelles défenses de Microsoft.

Ceci n’est que le dernier rappel que la prévention du phishing et des attaques Web est une bataille continue et sans fin.

Jusqu’au prochain chapitre…