Escroqueries par sextorsion utilisant des services de facturation et de comptabilité à des fins de diffusion
14 juillet 2025
Par l'équipe de recherche sur les menaces de Mimecast
- Escroqueries par sextorsion diffusées via des services de facturation et de comptabilité en ligne
- Des campagnes similaires ont été identifiées, utilisant la même adresse Bitcoin pour le paiement
- Techniques de contournement utilisées pour échapper aux solutions de sécurité
- S'adressant principalement aux entreprises américaines et australiennes
L'équipe de recherche sur les menaces de Mimecast a identifié une nouvelle campagne d'escroquerie par sextorsion qui exploite des services de facturation légitimes pour diffuser des e-mails malveillants. Ces campagnes, qui ont débuté en juin 2025, utilisent des techniques de contournement pour échapper aux solutions de sécurité et ciblent des destinataires qui ne se doutent de rien. Ces campagnes se distinguent par le fait qu'elles utilisent des services légitimes afin de donner de la crédibilité à leurs intentions malveillantes.
Détails de la campagne
Des campagnes récentes de Phishing ont été identifiées, utilisant Eslip, Snap Invoicing et Loyverse comme vecteurs de diffusion. Ces plateformes, qui proposent des services de facturation et de traitement des paiements, sont utilisées pour faciliter la mise en place d'escroqueries automatisées. Ces campagnes exploitent les fonctionnalités de services de facturation bien établis, ce qui permet aux pirates d'envoyer des notifications par e-mail frauduleuses qui semblent légitimes. Cette tactique renforce non seulement la crédibilité des escroqueries, mais augmente également les chances que les utilisateurs s'y laissent prendre.
Trois campagnes similaires ont été identifiées ; toutes utilisent la même adresse de portefeuille Bitcoin pour le paiement et la même adresse e-mail de réponse, ce qui laisse supposer une action coordonnée. Ces e-mails prétendent détenir des informations compromettantes sur le destinataire et exigent un paiement en bitcoins pour empêcher la divulgation de ces informations. D'autres informations personnelles sont utilisées, telles que la date de naissance ou le mot de passe du destinataire, afin de renforcer la crédibilité du message et de semer la panique. Cela indique que les informations du destinataire ont fait l'objet d'une fuite de données, et montre comment ce type de données peut être exploité pour mener d'autres attaques.
Techniques d'évasion
Pour contourner les solutions de sécurité, les pirates ont recours aux méthodes suivantes :
- Diviser l'adresse Bitcoin en deux parties dans l'e-mail afin d'éviter qu'elle ne soit détectée par des scanners automatisés.
- La publication d'informations supplémentaires relatives à l'extorsion, notamment l'adresse Bitcoin, sur un site d'hébergement externe (catbox.moe). Cela permet de s'assurer que les informations sensibles ne figurent pas directement dans le corps de l'e-mail, ce qui évite encore davantage qu'elles ne soient détectées.
Des campagnes récentes révèlent un changement de stratégie de la part des auteurs de menaces, qui s'orientent désormais vers l'utilisation abusive de services de notification en ligne légitimes comme vecteurs de diffusion. Cette tactique tire parti de la confiance que les utilisateurs accordent naturellement aux plateformes connues pour contourner les défenses périmétriques et échapper aux contrôles de sécurité standard. L'exploitation de ces services de confiance augmente non seulement la probabilité d'une interaction de la part des utilisateurs, mais réduit également les chances de détection, ce qui représente un risque accru pour les environnements d'entreprise. Ces évolutions soulignent la nécessité de mettre en place des stratégies de détection adaptatives qui tiennent compte de l'utilisation abusive d'infrastructures légitimes.
Protection Mimecast
Mimecast a mis en place des fonctionnalités de détection permettant d'identifier et de bloquer les e-mails liés à cette campagne. Nous continuons à surveiller l'évolution des tactiques et des techniques utilisées par les auteurs de menaces afin de garantir la protection de nos clients.
Objectifs:
Des organisations principalement américaines et australiennes issues de divers secteurs d'activité
du CIO
Envoi d'adresses e-mail
mailer@snapinvoicing[.]com
help@loyverse[.]com
Adresse de réponse
contact@enrolledagent[.]com
Matières
[nom] – Nous sommes là pour vous ! [nom] – Action immédiate requise Référence n° [numéro à six chiffres] de BlackEye pour [nom]
Portefeuille Bitcoin
1AiSyds8XSXEVCs4QWhdpsbikCEiLfpWLY
Recommandations
- Formation de sensibilisation à la sécurité des utilisateurs
- Sensibilisez les utilisateurs aux dernières techniques d'hameçonnage utilisées dans ces campagnes
- Organisez régulièrement des simulations de Phishing tenant compte des dernières menaces
- Recherche proactive des menaces
- Recherchez dans l'historique de vos e-mails de confirmation les messages dont l'adresse d'expédition correspond ou qui contiennent l'adresse de réponse.
- Parcourez vos journaux de réception des e-mails afin de déterminer si des messages présentant des objets similaires ont été envoyés à vos utilisateurs.