.
Mimecast Logo
Obtenir un devis

    Campagne de Phishing visant la plateforme de récompenses pour les employés « Awardco »

    18 août 2025

    Par Hiwot Mendahun, Ankit Gutpa et l'équipe de recherche sur les menaces de Mimecast

    Points clés
    • Une campagne qui dure depuis plusieurs mois, se faisant passer pour la plateforme de récompenses « Awardco », cible des entreprises entières depuis mai 2025
    • Une technique de contournement sophistiquée recourant à plusieurs chaînes de redirection, à des URL de sécurité légitimes et à diverses méthodes de diffusion, notamment des codes QR
    • La campagne tire parti du fait que tous les salariés s'attendent à recevoir des informations sur les programmes de récompenses afin d'optimiser sa portée
    • Attribution à l'opération de menaces MCT03028, suivie en interne, qui dispose de ressources importantes et utilise des techniques en constante évolution

    Présentation de la campagne

    Hiwot Mendahun, Ankit Gupta et l'équipe de recherche sur les menaces de Mimecast ont identifié une vaste campagne, qui s'étend sur plusieurs mois, visant des organisations en usurpant l'identité d'Awardco, une plateforme très répandue dédiée à la récompense et à la reconnaissance des employés. Cette campagne est attribuée à une opération malveillante référencée en interne sous le code MCT03028 et représente un défi majeur en matière de risques liés au facteur humain, car elle exploite le fait que les employés s'attendent généralement à recevoir des communications concernant les récompenses, les avantages sociaux et les programmes de reconnaissance au travail.

    Contrairement aux **targeted attack**s qui visent des fonctions ou des services spécifiques, l'usurpation d'identité d'Awardco peut cibler efficacement des organisations entières, car tous les employés interagissent généralement avec les plateformes de récompenses et s'attendent à recevoir des notifications à ce sujet. Depuis mai 2025, les auteurs de menaces font preuve d’une persévérance et d’une sophistication remarquables, en utilisant divers comptes piratés, de multiples services de redirection et différentes méthodes de diffusion afin de maintenir l’efficacité de leurs campagnes. Ces attaques exploitent la confiance que les salariés accordent naturellement aux communications officielles concernant les avantages sociaux, ce qui rend ce phénomène particulièrement dangereux du point de vue de la gestion des risques liés au facteur humain. Les employés s'attendent naturellement à recevoir des communications concernant les programmes de récompenses, la reconnaissance des performances et les mises à jour relatives aux avantages sociaux, ce qui constitue une occasion idéale d'ingénierie sociale pour les acteurs malveillants.

    Ces campagnes ont évolué au cours de ces quatre mois, ce qui témoigne de la capacité d'adaptation des auteurs de ces menaces et des ressources dont ils disposent. Après avoir initialement eu recours à de simples redirections via des domaines piratés, l'opération a évolué pour intégrer des chaînes de redirection sophistiquées en plusieurs étapes, des mécanismes de diffusion par codes QR, une distribution par SMS et l'utilisation abusive de services de sécurité légitimes.

    Awardco Phishing 1.png

    Awardco Phishing 2.png

    Awardco Phishing 3.png

    Cette évolution témoigne de l'existence d'un groupe malveillant disposant de ressources importantes et de capacités de développement continues. L'efficacité psychologique de cette campagne tient au fait qu'elle tire parti des processus légitimes en vigueur sur le lieu de travail. Contrairement aux communications externes suspectes, les notifications d'Awardco semblent provenir de processus métier attendus, ce qui réduit considérablement la méfiance des employés et augmente les taux d'engagement.

    Analyse technique

    Les auteurs de ces attaques ont utilisé plusieurs variantes de chaînes de redirection tout au long de ces campagnes, faisant ainsi preuve de capacités sophistiquées en matière de contournement. Voici un exemple datant du 1er août 2025, dans lequel un total de 9 redirections ont été utilisées, y compris une page CAPTCHA avant la page finale de Phishing.

    Awardco Phishing 4

    Ces campagnes présentent des schémas techniques récurrents, notamment l'encodage Base64, l'utilisation abusive de services légitimes (AWS SES, Sophos, Google Sites) et l'utilisation stratégique de Business Email accounts piratés afin de renforcer leur crédibilité. Les auteurs de ces attaques privilégient les comptes Amazon SES, probablement piratés, tout en recourant parfois à des comptes Office 365 pour la diffusion.

    Protection Mimecast

    Mimecast a mis en place un système de détection des campagnes d'usurpation d'identité visant Awardco. Notre équipe de recherche sur les menaces continue de surveiller l'évolution des tactiques et des techniques utilisées par ces acteurs malveillants afin de garantir que nos clients restent protégés contre les vecteurs d'attaque en constante évolution.

    Indicateurs de compromission (IOC)

    Utilisation abusive de l'infrastructure de redirection :

    • c.podium.co - Service de suivi des clics proposé par Podium
    • sites.google.com - Google Sites
    • sales-engage.com - Service HubSpot Sales Engage
    • eu-central-1.protection.sophos.com - Service de réécriture des liens Sophos
    • 86nxjchv.r.us-east-1.awstrack.me - Suivi AWS
    • mop.bz - Service de raccourcissement d'URL

    Pages de Phishing hébergées sur :

    • Soundorama[.]com/index[.]html
    • Soundorama[.]com/lol[.]html
    • tuicorp[.]com/awardco[.]html
    • capnco[.]com/go/iex[.]html

    Numéros de téléphone :

    • (417) 397-7374 (envoi par SMS)

    Matières

    • Votre carte-cadeau électronique d'une valeur de 400 $ expirera aujourd'hui
    • Alerte d'expiration des points Awardco d'une valeur de 200 $
    • URGENT : l'accès administrateur à Awardco expirera dans 5 heures
    • Félicitations !!!

    Recommandations

    Mesures de sécurité relatives aux e-mails

    • Analysez les chaînes de redirection complexes en veillant à pouvoir suivre des séquences complètes passant par plusieurs services légitimes
    • Mettez en place des règles de détection spécifiques ciblant les schémas d'abus sur AWS SES, en les associant aux thèmes liés aux avantages sociaux des employés et à l'image de marque d'Awardco
    • Mettez en place une analyse en temps réel des codes QR afin de détecter les liens de Phishing intégrés et les schémas de redirection suspects

    Formation à la sensibilisation à la sécurité destinée aux utilisateurs

    • Sensibilisez l'ensemble des collaborateurs aux risques liés à l'usurpation d'identité d'Awardco, en mettant l'accent sur le fait que ces menaces visent tout le monde et ne se limitent pas à certaines fonctions spécifiques.
    • Apprenez aux utilisateurs à vérifier les communications relatives au programme de fidélité via les canaux internes établis avant de cliquer sur un lien quelconque
    • Réalisez des simulations complètes de Phishing intégrant plusieurs vecteurs d'attaque : liens dans les e-mails, codes QR et scénarios par SMS

    Recherche proactive des menaces

    • Rechercher dans les journaux des e-mails reçus les objets d'e-mail correspondants
    • Examinez les journaux de clics sur les URL pour identifier les pages de Phishing correspondantes
    • Surveillez les schémas de redirection inhabituels impliquant des services de sécurité légitimes (Sophos, Google Sites) associés à des thèmes liés à des récompenses
    • Recherchez les tentatives d'ingénierie sociale par SMS faisant référence à des programmes de fidélité ou à la réactivation de comptes

    Suivi

    • Mettez en place un suivi des redirections successives via plusieurs services légitimes, en particulier celles liées à la promotion de l'image de marque des avantages sociaux des salariés
    • Surveillez les événements d'authentification inhabituels faisant suite à des tentatives présumées d'usurpation d'identité d'Awardco
    Haut de la page