Campagne de Phishing de type « Browser-in-the-Browser » (BitB)

24 juin 2026

Par Rikesh Vekaria

Présentation de la campagne

Les pirates ont trouvé un nouveau moyen de contourner les outils d'analyse des codes QR : corrompre le fichier intentionnellement.

En mai 2026, l'équipe Mimecast Threat Research a identifié une campagne de « quishing » de grande envergure qui intégrait des codes QR malveillants dans des pièces jointes d'invitations de calendrier et qui déformait délibérément ces pièces jointes afin d'enfreindre la norme RFC 2445, sur laquelle reposent les fichiers de calendrier. Il en a résulté que les outils automatisés chargés d'extraire et d'analyser le code QR ont échoué au stade de l'analyse syntaxique, avant même d'avoir pu identifier un éventuel élément malveillant.

La campagne a également révélé des lacunes au niveau de l'automatisation. L'image figurant dans chaque e-mail présentait une invite portant la marque Microsoft, mais son texte alternatif faisait référence au domaine propre à l'organisation destinataire, ce qui laisse supposer que l'outil utilisé par le pirate était conçu pour extraire dynamiquement le logo de la cible, mais qu'il n'y est pas parvenu. Les adresses d'expéditeur, les objets et le contenu des messages ont été modifiés à chaque fois, dans le but précis de contourner les contrôles basés sur les signatures et la réputation.

Mai 2026 : campagne de « quishing » visant des systèmes ICS mal configurés

Structure et mise en œuvre de la campagne

Légende : La pièce jointe à l'invitation de calendrier contenait un code QR qui, une fois scanné, redirigeait le destinataire vers une étape de vérification manuelle avant de lui transmettre le contenu malveillant.

Légende : Cette étape intermédiaire a été conçue pour échapper à l'analyse automatisée et conférer à l'expérience un sentiment de légitimité.

Légende : Tout au long de la campagne, les adresses d'expéditeur, les objets et le contenu des messages ont varié en permanence, ce qui a considérablement réduit l'efficacité de la détection basée sur les signatures.

Techniques d'évasion à plusieurs niveaux

La campagne combinait plusieurs techniques de contournement afin de déjouer systématiquement chaque niveau de détection automatisée :

Origine fiable : les messages ont été envoyés depuis des serveurs de messagerie Google et ont passé avec succès les authentifications SPF, DKIM et DMARC, ce qui leur a valu une bonne réputation d'expéditeur auprès des systèmes destinataires.

Contenu minimal : chaque e-mail ne contenait qu'une image et une invitation de calendrier au format .ics format, en omettant le corps du texte, les liens et les pièces jointes que les moteurs de détection examinent généralement.

Pièce jointe obscurcie : la pièce jointe au format .ics enfreignait délibérément la norme RFC 2445, qui définit le format des fichiers de calendrier, et ses lignes de propriétés X étaient remplies d'un contenu généré aléatoirement, spécialement conçu pour empêcher les outils d'extraction de codes QR de fonctionner correctement lors de l'étape d'analyse.

Code QR intégré : un code QR a été inséré dans l'invitation du calendrier, ce qui a permis de déplacer l'élément interactif hors du corps de l'e-mail vers l'appareil mobile du destinataire, hors de portée des filtres de messagerie d'entreprise et des contrôles des terminaux.

Contrôle manuel : la lecture du code QR redirigeait le destinataire vers une étape de vérification manuelle avant qu'il n'atteigne la destination contrôlée par le pirate, ce qui empêchait les robots d'indexation automatisés d'accéder au site et dissimulait l'URL de destination aux outils d'analyse.

Ciblage dynamique avec une exécution imparfaite : la campagne a tenté d'insérer de manière dynamique les logos des organisations destinataires dans l'appât de Phishing, mais a échoué, laissant apparaître la marque Microsoft dans l'image tandis que le texte alternatif faisait référence au domaine de la cible — ce qui témoigne de l'utilisation d'outils sophistiqués présentant toutefois des lacunes de mise en œuvre.

Fichiers ICS mal formés : contourner les normes pour échapper à la détection

La technique de contournement utilisée dans le cadre de cette campagne consistait à enfreindre délibérément la norme RFC-5545, la spécification technique qui définit la structure des fichiers de calendrier. Les lignes de la propriété X de la pièce jointe au format .ics étaient remplies d'un contenu généré aléatoirement, conçu pour entraîner l'échec des outils d'extraction de codes QR au stade de l'analyse.

Non-conformité à la norme RFC-5545

1. Le contenu apparaît avant « BEGIN:VCALENDAR »
   Le fichier commence par de nombreuses lignes « X-... » avant que le calendrier ne commence réellement. Cela n'est pas valide selon la RFC 5545.
   Les outils de sécurité et les analyseurs syntaxiques recherchent souvent en premier lieu la balise « BEGIN:VCALENDAR ». Des lignes supplémentaires au début peuvent faire passer du contenu suspect inaperçu lors d'analyses simples, et semer le doute : « S'agit-il d'un calendrier ? » vérifier, ou cacher la véritable invitation plus bas dans la pièce jointe afin que les utilisateurs, qu'ils soient humains ou automatisés, ne la remarquent pas.
2. Lignes X mal formées + noms expérimentaux
   Ces lignes ressemblent à des métadonnées de calendrier (X-GENERATION; FUTURE:, X-ADULT; CUSTOMER:), mais utilisent « ; WORD: » au lieu de la syntaxe valide (;WORD=value: ou X-WORD:value).
   Pourquoi les pirates procèdent-ils ainsi ?
   • Les propriétés X- sont autorisées dans la spécification RFC, ce qui donne au fichier un aspect « technique » et légitime à première vue.
   • Des paires de mots aléatoires (GENERATION / FUTURE, PAPER / WITHIN) imitent des champs réels sans pour autant être des noms standard ; il s'agit d'un bruit qui perturbe les analyseurs syntaxiques stricts, mais qui peut néanmoins s'afficher dans les clients moins rigoureux.
   • Des paramètres mal formés peuvent entraîner l'échec ou l'ignorance du fichier par certains analyseurs de sécurité, tandis que certaines applications de calendrier peuvent tout de même l'ouvrir partiellement — une astuce classique dite d’« abus de format ».

Cette approche va à l'encontre de l'analyse automatisée à plusieurs égards :

• Les moteurs d'analyse s'arrêtent prématurément : les outils de sécurité qui s'attendent à des fichiers conformes aux normes rencontrent des données mal formées et interrompent le traitement avant d'atteindre le code QR intégré.
• Échec de l'extraction du code QR : les outils conçus pour localiser et traiter les images intégrées ne peuvent pas fonctionner lorsque la structure du fichier est délibérément corrompue
• Les technologies dépendantes des URL n'ont rien à analyser : les technologies de détection traditionnelles qui s'appuient sur la résolution de l'URL de destination pour établir un verdict — telles que le sandboxing, l'analyse d'URL et les agents LLM — échouent, car l'URL reste masquée à l'intérieur d'une pièce jointe corrompue

Abus liés aux invitations de calendrier : un paysage des menaces plus vaste

Si la campagne de « quishing » par des fichiers ICS malveillants de mai 2026 constitue la dernière évolution en date des attaques basées sur le calendrier observées par Mimecast, elle s'inscrit dans un contexte plus large d'utilisation abusive des invitations de calendrier. Les cybercriminels continuent d'exploiter les fonctionnalités du calendrier dans le cadre de multiples variantes d'attaques :

Phishing via du code HTML intégré

Certaines attaques intègrent du contenu HTML directement dans les fichiers .ics des fichiers qui, une fois ouverts, redirigent vers des pages de Phishing. L'invitation du calendrier fait elle-même office de vecteur d'attaque, grâce à du code HTML intégré qui affiche des formulaires destinés à récupérer des identifiants ou redirige vers une infrastructure de Phishing externe. Cette approche contourne l'analyse traditionnelle du contenu des e-mails, car le contenu malveillant n'apparaît jamais dans le corps du message.

Escroqueries par « vishing » avec rappel téléphonique

Les invitations de calendrier peuvent contenir des numéros de téléphone accompagnés de messages urgents destinés à lancer des attaques de voice Phishing. Ces invitations font généralement référence à des problèmes de sécurité liés au compte, à des paiements en retard ou à des problèmes informatiques critiques nécessitant une intervention immédiate par téléphone. Le format de calendrier confère une certaine crédibilité à la demande, car les utilisateurs considèrent les événements programmés comme plus légitimes que les e-mails non sollicités.

Pourquoi l'utilisation abusive des invitations via l'agenda est-elle efficace ?

Les attaques basées sur le calendrier exploitent plusieurs failles fondamentales liées à la manière dont les organisations et les utilisateurs interagissent avec les systèmes de planification :

Ajout automatique aux calendriers : les paramètres par défaut de Google Agenda et de Microsoft 365 ajoutent souvent automatiquement les invitations externes aux calendriers des utilisateurs sans exiger d'acceptation explicite. Cette automatisation signifie que les utilisateurs peuvent être exposés à des contenus malveillants sans avoir consciemment choisi d'interagir avec ceux-ci.

Confiance des utilisateurs dans les notifications de calendrier :les utilisateurs font naturellement confiance aux notifications de calendrier, qui s'inscrivent dans leur flux de travail habituel. Lorsqu'un événement frauduleux apparaît aux côtés de réunions professionnelles légitimes, ce contexte confère une crédibilité implicite dont les attaquants tirent parti.

Contrôle moins strict que pour les e-mails : les invitations de calendrier font l'objet d'un contrôle moins rigoureux que les e-mails classiques, tant de la part des technologies de sécurité que des utilisateurs eux-mêmes, qui ont été formés à examiner attentivement les liens contenus dans les e-mails, mais pas le contenu des événements de calendrier.

Persistance malgré la suppression de l'e-mail : même lorsque l'e-mail de Phishing d'origine est identifié et supprimé de la boîte de réception d'un utilisateur, l'événement de calendrier peut subsister dans son agenda, continuant ainsi à l'exposer à du contenu malveillant.

Protection Mimecast

Mimecast a mis en place des fonctionnalités de détection spécialement conçues pour identifier les invitations de calendrier malveillantes et les attaques de « quishing » qui exploitent des fichiers ICS mal formés. La protection multivectorielle contre les menaces (MVTP) s'appuie sur une analyse fondée sur les principes fondamentaux, plutôt que de se baser sur l'URL de destination finale identifiée pour la détection du phishing ou de se concentrer uniquement sur les indicateurs de la phase d'exploitation pour la détection des malware. Il établit des corrélations contextuelles entre les signaux préalables à l'exécution, notamment les URL d'appel à l'action, les modèles de diffusion, le comportement de redirection, le contexte d'authentification et les attributs au niveau du message, afin d'aboutir à une conclusion.

L'équipe de recherche sur les menaces continue de surveiller l'évolution des techniques utilisées par les auteurs d'attaques qui exploitent l'infrastructure de calendrier et a intégré plusieurs caractéristiques issues de la campagne de mai 2026 à ses capacités de détection.

Cibles : À l'échelle mondiale, mais davantage axées sur le Royaume-Uni, l'Allemagne et les États-Unis ; tous secteurs confondus

Indicateurs de compromission (IOC)

Matières communes

• Mars 2026 – Code de conduite
• Manuel du programme de formation à l'éthique
• Politique relative au modèle hybride dans le secteur de l'énergie
• Procédures du manuel du personnel
• Guide des politiques d'évaluation
• Éthique de la chaîne d'approvisionnement
• Manuel des procédures
• Guide du programme de récompenses « Policy »
• Politique relative au modèle hybride
• Politique de conformité en matière de sécurité et de santé
• Guide des programmes
• Éthique de la chaîne d'approvisionnement
• Normes en matière de responsabilité d'entreprise

Ce que les défenseurs doivent retenir

Les campagnes de « quishing » qui dissimulent des codes QR dans des pièces jointes de calendrier exploitent une faille fondamentale : au moment où l'utilisateur scanne le code, l'attaque s'est déjà propagée vers un appareil mobile personnel, où le filtrage des e-mails, la protection Web et la surveillance des terminaux sont souvent inexistants ou nettement moins efficaces. Si des identifiants sont dérobés à ce stade, le système de sécurité de l'entreprise risque de ne jamais se rendre compte que cette interaction a eu lieu.

Les technologies de détection traditionnelles, notamment le sandboxing, l'analyse d'URL et les agents basés sur des modèles de langage (LLM), s'appuient sur l'identification de l'URL de destination pour établir un verdict. Lorsque cette URL est dissimulée derrière une pièce jointe mal formée, un code QR et une étape de vérification manuelle, ces outils n'ont rien à analyser.

Les responsables de la sécurité doivent considérer les invitations de calendrier authentifiées dont le corps du message est très succinct et dont le contenu se compose uniquement d'images comme présentant un risque élevé, quel que soit le statut d'authentification de l'expéditeur. L'analyse des pièces jointes doit pouvoir gérer les en-têtes ICS mal formés, et les utilisateurs doivent comprendre que scanner un code QR revient à cliquer sur un lien non vérifié.

Les défenseurs doivent également partir du principe que le nombre et la diversité des techniques de contournement ne cesseront d'augmenter. Les modèles d'IA permettent aux acteurs malveillants de générer à grande échelle des techniques d'évasion à plusieurs niveaux ainsi que leurs variantes ; les contrôles de sécurité doivent donc s'appuyer sur une détection fondée sur les principes fondamentaux plutôt que sur la comparaison avec des variantes connues.