Microsoft a divulgué les détails d'une campagne de vol d'identifiants à grande échelle qui a exploité une combinaison de leurres sur le thème du code de conduite et de services d'e-mail légitimes pour diriger les utilisateurs vers des domaines contrôlés par les attaquants et voler des jetons d'authentification. La campagne en plusieurs étapes, observée entre le 14 et le 16 avril 2026, a ciblé plus de 35 000 utilisateurs dans plus de 13 000 organisations réparties dans 26 pays, 92 % des cibles étant situées aux États-Unis. La majorité des e-mails de phishing étaient dirigés contre les secteurs de la santé et des sciences de la vie (19 %), des services financiers (18 %), des services professionnels (11 %) et de la technologie et des logiciels (11 %). "Les leurres utilisés dans cette campagne comportaient des modèles HTML soignés de style entreprise avec des mises en page structurées et des déclarations d'authenticité préventives, ce qui les rendait plus crédibles que les e-mails de phishing typiques et augmentait leur plausibilité en tant que communications internes légitimes", ont déclaré l'équipe de recherche en sécurité de **Microsoft Defender** et Microsoft Threat Intelligence [ici](https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/). "Étant donné que les messages contenaient des accusations et des invites d'action répétées avec des délais impartis, la campagne créait un sentiment d'urgence et de pression pour agir." Les messages électroniques utilisés dans la campagne emploient des leurres liés aux examens du code de conduite, en utilisant des noms d'affichage tels que "Internal Regulatory COC", "Workforce Communications" et "Team Conduct Report". Les lignes d'objet associées à ces e-mails incluent "Internal case log issued under conduct policy" et "Reminder: employer opened a non-compliance case log". "En haut de chaque message, un avis indiquait que le message avait été "émis via un canal interne autorisé" et que les liens et les pièces jointes avaient été "examinés et approuvés pour un accès sécurisé", renforçant ainsi la légitimité présumée de l'e-mail", a expliqué Microsoft. Il est estimé que les e-mails sont envoyés à partir d'un service de diffusion d'e-mails légitime. Les messages sont également accompagnés d'une pièce jointe PDF qui fournit prétendument des informations supplémentaires sur l'examen de conduite, incitant les victimes à cliquer sur un lien dans le document pour lancer le flux de collecte d'identifiants. La chaîne d'attaque a été trouvée dirigeant les victimes à travers plusieurs tours de CAPTCHA et de pages intermédiaires conçues pour donner au stratagème un vernis de légitimité, tout en tenant à l'écart les défenses automatisées.  Finalement, cela se termine par une expérience de connexion qui exploite les tactiques de phishing par l'intermédiaire de l'adversaire (AiTM) pour collecter les identifiants et les jetons Microsoft en temps réel, permettant ainsi aux acteurs de la menace de contourner l'authentification multifacteur (MFA). La destination finale, selon Microsoft, dépend si le flux malveillant a été déclenché à partir d'un appareil mobile ou d'un système de bureau. ### Tendances du Phishing en 2026 Cette divulgation intervient alors que l'analyse par Microsoft du paysage des menaces par e-mail entre janvier et mars 2026 a révélé que le phishing par code QR est apparu comme le vecteur d'attaque à la croissance la plus rapide, tandis que le phishing via CAPTCHA a évolué "rapidement" à travers les types de charges utiles. Au total, le géant de la technologie a déclaré avoir détecté environ 8,3 milliards de menaces de phishing par e-mail. Parmi ceux-ci, près de 80 % étaient basés sur des liens, les gros fichiers HTML et ZIP représentant une part énorme des charges utiles malveillantes distribuées par e-mail de phishing. L'objectif final de la grande majorité de ces attaques était la collecte d'identifiants, la livraison de malware ayant diminué à seulement 5-6 % à la fin du trimestre. Microsoft a également déclaré que les opérateurs de la plateforme de phishing-as-a-service (PhaaS) **Tycoon 2FA** ont tenté de changer de fournisseurs d'hébergement et de modèles d'enregistrement de domaine suite à une [opération de perturbation coordonnée](https://thehackernews.com/2026/03/europol-led-operation-takes-down-tycoon.html) en mars 2026. "Vers la fin mars, nous avons vu Tycoon 2FA s'éloigner de **Cloudflare** en tant que service d'hébergement et héberger désormais la plupart de ses domaines sur une variété de plateformes alternatives, suggérant que le groupe tente de trouver des services de remplacement offrant des protections anti-analyse comparables", a-t-il [ajouté](https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/).  Dans un rapport publié en février, l'unité 42 de **Palo Alto Networks** a [souligné](https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/) comment les acteurs de la menace abusent des codes QR comme raccourcisseurs d'URL pour masquer des destinations malveillantes, des liens profonds dans l'application pour voler des identifiants de compte, et contourner la sécurité des magasins d'applications en renvoyant vers des téléchargements directs d'applications malveillantes. Les données de Microsoft montrent une augmentation massive du phishing par code QR au cours de la période de trois mois, les volumes d'attaques passant de 7,6 millions en janvier à 18,7 millions en mars, soit une augmentation de 146 %. Une évolution notable observée fin mars a été l'utilisation de codes QR intégrés directement dans le corps des e-mails. Les escroqueries par compromission d'e-mails professionnels (BEC), quant à elles, ont montré plus de fluctuations, dépassant les 4 millions en volume d'attaques en mars 2026, contre plus de 3,5 millions en janvier et plus de 3 millions en février. Collectivement, 10,7 millions d'attaques BEC ont été enregistrées. Deux campagnes notables observées au cours du premier trimestre 2026 sont présentées ci-dessous - * Une campagne importante et soutenue entre le 23 et le 25 février 2026, qui a envoyé plus de 1,2 million de messages à des utilisateurs dans plus de 53 000 organisations dans 23 pays, utilisant des leurres sur les thèmes 401(k), paiements et factures pour servir une pièce jointe SVG. L'ouverture du fichier dirigeait les victimes vers une vérification CAPTCHA, et après l'avoir réussie, elles se voyaient présenter une fausse page de connexion pour compromettre leurs comptes. * Une campagne massive le 17 mars 2026, qui a impliqué plus de 1,5 million de messages malveillants confirmés envoyés à plus de 179 000 organisations dans 43 pays. Cette activité représentait 7 % de toutes les pièces jointes HTML malveillantes observées au cours du mois. Lors de l'ouverture, le fichier HTML redirigeait les victimes vers une page de phishing initiale qui examinait le visiteur avant de le rediriger vers la destination finale : une page de phishing présentant un défi CAPTCHA avant de servir une page de connexion frauduleuse. "Il est intéressant de noter que, bien que les messages de cette campagne partageaient des outils, une structure et des caractéristiques de livraison communs, l'infrastructure hébergeant la charge utile de phishing finale était liée à plusieurs fournisseurs de PhaaS différents", a déclaré Microsoft. "La plupart des points d'accès de phishing observés étaient associés à Tycoon 2FA, tandis que d'autres activités étaient liées à l'infrastructure de **Kratos** (anciennement Sneaky 2FA) et **EvilTokens**." Ces découvertes coïncident avec l'émergence de campagnes de phishing et de BEC qui abusent d'**Amazon Simple Email Service (SES)** comme vecteur de livraison pour contourner les vérifications SPF, DKIM et DMARC, et faciliter le vol d'identifiants via de fausses pages de connexion. Ces attaques fonctionnent souvent en obtenant l'accès à Amazon SES via des [clés d'accès AWS divulguées](https://repost.aws/articles/ARoBXj63rWSt2Ww7XKlVV72g/how-aws-responds-to-exposed-credentials-and-how-you-can-protect-your-account). "La nature insidieuse des attaques Amazon SES réside dans le fait que les attaquants n'utilisent pas de domaines suspects ou dangereux ; au lieu de cela, ils exploitent une infrastructure à laquelle les utilisateurs et les systèmes de sécurité ont appris à faire confiance", a déclaré **Kaspersky** [ici](https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/). "En armant ce service, les attaquants évitent l'effort de construire des domaines et une infrastructure de messagerie douteux à partir de zéro. Au lieu de cela, ils détournent des clés d'accès existantes pour obtenir la capacité de diffuser des milliers d'e-mails de phishing. Ces messages passent l'authentification par e-mail, proviennent d'adresses IP peu susceptibles d'être mises sur liste noire,