Les invitations aux fêtes de fin d'année fournissent des outils d'accès à distance
5 décembre 2025
Par Hiwot Mendahun, Ankit Gupta et l'équipe de recherche sur les menaces de Mimecast
- Les cybercriminels profitent de la période des fêtes pour se faire passer pour des services légitimes d'invitation à des fêtes, tels que Punchbowl, afin de diffuser des outils de surveillance et de gestion à distance (RMM).
- Ciblant principalement les entreprises américaines des secteurs de la finance, des services professionnels (comptabilité, droit) et de l'immobilier
- Les liens contenus dans ces fausses invitations redirigent les utilisateurs via Google Sites et HubSpot vers le téléchargement du logiciel client ScreenConnect RMM
Présentation de la campagne
L'équipe Mimecast Threat Research a identifié une campagne en cours qui profite de la période des fêtes pour diffuser des outils d'accès à distance dissimulés sous forme d'invitations à des fêtes de fin d'année. Plus de 2 300 domaines ont été identifiés comme cibles, principalement aux États-Unis, avec une concentration notable en Australie. Cette technique s'appuie sur des schémas bien connus d'usurpation d'identité de services d'invitation légitimes, tels qu'Evite et Punchbowl, afin de diffuser à la fois des pages de Phishing visant à obtenir des identifiants et des malware. La campagne actuelle s'inscrit dans la continuité de cette stratégie et cible plus particulièrement le volume croissant de communications relatives aux événements de fin d'année organisés par les entreprises.
Déroulement de l'attaque
L'attaque commence par l'envoi d'e-mails provenant de Business Email accounts légitimes mais piratés, ce qui confère immédiatement une grande crédibilité au message. Ces comptes piratés appartiennent souvent à des prestataires de services tiers de confiance, tels que des cabinets comptables, des cabinets d'avocats ou des consultants en gestion. Les destinataires reçoivent ce qui semble être une véritable invitation à une fête ou à un événement de fin d'année. L'e-mail contient un lien censé fournir des informations sur l'événement ou des options pour confirmer votre présence.
Lorsque vous cliquez dessus, le lien déclenche une chaîne de redirections en plusieurs étapes conçue pour échapper à la détection. Dans certaines campagnes, on constate que les utilisateurs sont redirigés via Google Sites ou le service d'engagement de HubSpot, ce qui masque encore davantage la destination malveillante. Dans d'autres campagnes, on constate qu'une page d'accueil invite l'utilisateur à cliquer sur le bouton « Télécharger le fichier », ce qui lancera le téléchargement. Les pages de destination finales hébergent des programmes d'installation du client ScreenConnect RMM, présentés comme des fichiers à télécharger pour des invitations à des fêtes.
Pourquoi les outils RMM sont-ils dangereux ?
Contrairement aux malware traditionnels, ScreenConnect est un outil d'administration à distance légitime utilisé par les professionnels de l'informatique pour la gestion des systèmes. Cependant, lorsqu’il est utilisé par des acteurs malveillants, il offre un accès à distance persistant qui passe souvent inaperçu aux yeux des outils de sécurité, en particulier dans les entreprises de taille moyenne (500 à 5 000 salariés) qui ne disposent souvent pas de capacités de détection de niveau entreprise. Une fois le logiciel installé, les pirates peuvent :
- Exécuter des commandes avec des privilèges d'administrateur
- Exfiltrer des données sensibles, notamment des identifiants, des informations financières et de la propriété intellectuelle
- Déployer d'autres malware ou Ransomware
- Déplacez-vous latéralement au sein du réseau afin de compromettre d'autres systèmes
- Préserver un accès à long terme en vue d'attaques futures
- Tirer parti des relations de confiance avec les fournisseurs pour s'introduire dans les organisations clientes, ce qui permet de compromettre la chaîne d'approvisionnement
Protection Mimecast
Mimecast propose plusieurs niveaux de protection contre ces attaques d'ingénierie sociale liées aux fêtes de fin d'année :
CIO
Noms de fichiers :
- Invitation_de_Noël_de_Bluewep
- ScreenConnect.ClientSetup
- CHRISTMAS_BUNDLE_AGENT_468181_V10_14_4_RW.MSI
Hachages de fichiers (SHA256) :
- FE5AA50D5DED1FF44138D6125188F531EF9DF1FCB64374EEB90A33E95941585C
- 5E3DEA219DD75763719D82DE99136318F0D224608EC310E5372010EFF6FF0D67
- ee5b6da2a0a0ce53dd8a2542fd68aadf99920746bec57805b95447482c524916
URLs :
- hxxp://sites.google.com/view/party-invite-download-e-card/home
- dxmc1w04.na2.hs-service-engage[.]com
- hxxps://rac[.]am/MINE
- hxxps://stashie-co[.]com/
Objectifs
Entreprises de taille moyenne (500 à 5 000 salariés) aux États-Unis (83% des entreprises ciblées) et en Australie (4%), principalement dans les secteurs de la finance, des services professionnels (comptabilité, droit), de l'immobilier et des crédits immobiliers, de la santé et du secteur public
Recommandations
Sensibilisation des utilisateurs à la sécurité
- Sensibilisez les utilisateurs. Rappelez aux employés de vérifier les invitations à des événements inattendues par le biais de canaux secondaires, en particulier lorsqu'elles contiennent des liens de téléchargement. Insistez sur le fait que les invitations officielles à des événements d'entreprise ne nécessitent généralement pas de téléchargement de logiciels. Les organisations doivent redoubler de vigilance en fin d'année, période durant laquelle le volume des transactions financières augmente et où les effectifs peuvent être réduits
Recherche proactive des menaces
- Analyse des journaux d'URL : recherchez dans les journaux d'URL les indicateurs techniques associés à ces campagnes
- Mettez en place un dispositif de surveillance axé sur les comptes entretenant des relations commerciales avec des tiers, en particulier ceux relevant des services comptables, juridiques et de conseil financier, qui sont ciblés de manière disproportionnée
Gestion du déploiement des outils RMM
- Mettez en place des politiques de liste blanche pour les applications afin d'empêcher l'installation non autorisée d'outils d'accès à distance
- Si ScreenConnect ou des outils RMM similaires sont utilisés à des fins légitimes, veillez à ce que seules les versions approuvées par le service informatique puissent être déployées via des canaux contrôlés
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!