Phishing : Faux CV utilisés pour voler des identifiants d'entreprise

LockSelf Team

5 min de lecture
Partager
Phishing : Faux CV utilisés pour voler des identifiants d'entreprise

Les faits

Des acteurs menaçants non identifiés exploitent une campagne de phishing ciblant les environnements francophones en entreprise. Les premières descriptions publiques proviennent d'un rapport technique et d'analyses réalisées par des chercheurs en cybersécurité¹ ². Les courriels se présentent comme des candidatures ou des CV; les pièces jointes sont des fichiers VBScript (.vbs) obfusqués qui lancent un exécuteur chargé de récupérer des payloads supplémentaires. Les activités observées incluent le déploiement d'un crypto-miner et d'un stealer d'informations visant à exfiltrer des identifiants et des données de session¹ ².

La campagne a été mise en lumière en mars 2026, après des détections successives par des équipes de réponse et des fournisseurs de sécurité qui ont corrélé des indicateurs similaires¹ ². Le ciblage privilégie les organisations francophones, en priorité en France, mais aussi dans d'autres pays européens et africains où le français est langue de travail¹ ².

Chaîne d'attaque observée

  • Un e-mail est envoyé avec un objet et un corps construits pour attirer recruteurs RH et managers.
  • Une pièce jointe nommée "CV" au format .vbs ou avec une double-extension trompeuse est fournie.
  • L'utilisateur exécute le VBScript (double-clic) ou un processus automatisé permet son exécution (WScript/CScript).
  • Le VBScript désobfusque des chaînes embarquées puis contacte un serveur distant pour récupérer un second payload.
  • Le second payload installe un stealer pour la collecte d'identifiants et un binaire de minage qui utilise la CPU/GPU pour miner des cryptomonnaies¹ ².

Contexte

L'utilisation de faux CV comme appât n'est pas une nouveauté, mais la campagne observée montre une progression technique. Les attaquants combinent une ingénierie sociale soignée avec des scripts VBScript obfusqués pour franchir les contrôles de sécurité et rester discrets.

  • Ingénierie sociale adaptée au recrutement: les recruteurs ouvrent fréquemment des CV et font confiance aux candidatures entrantes. Les messages malveillants exploitent cette habitude en soignant la rédaction et les noms de fichiers.
  • VBScript et obfuscation: les scripts .vbs s'exécutent nativement sur Windows et peuvent invoquer des composants système (WScript, objets Shell, ou PowerShell). L'obfuscation rend la détection par signatures statiques moins efficace.
  • Monétisation via crypto-mining: le miner est un moyen discret de tirer profit d'un accès compromis. À la différence d'un ransomware, il n'interrompt pas immédiatement les opérations, mais il dégrade les performances et peut masquer d'autres activités malveillantes.
  • Vol d'identifiants: les stealers collectent mots de passe et jetons de session, permettant aux attaquants d'accéder aux messageries, plateformes cloud et outils RH, et de préparer des mouvements latéraux.

La combinaison d'un stealer et d'un miner offre à l'attaquant une rentabilité immédiate tout en permettant des actions à plus long terme sur l'infrastructure compromise. Les techniques d'obfuscation utilisées visent clairement à contourner les contrôles AV/EDR classiques¹ ².

Réactions et conséquences

Alertes et réponses de la communauté

Les analyses publiques ont incité des équipes SOC et des fournisseurs à partager IOCs et règles YARA pour faciliter la détection interne¹ ². Les opérateurs de sécurité sont invités à surveiller plusieurs signaux faibles:

  • exécutions de wscript.exe ou cscript.exe initiées par des sessions utilisateur inhabituelles;
  • scripts contenant de longues chaînes chiffrées ou des routines de désobfuscation;
  • activités de téléchargement HTTP(S) depuis processus scriptés ou PowerShell;
  • connexions sortantes vers domaines ou IP non reconnus.

Impacts constatés

  • Performance des postes: des machines infectées ont montré une hausse continue de l'utilisation CPU, parfois comprise entre 30 et 80% selon le coin miné et la configuration matérielle, affectant l'expérience utilisateur et les services critiques².
  • Vol d'identifiants: des comptes compromis ont permis l'accès à des boîtes mail et des consoles cloud, ouvrant la voie à des mouvements latéraux et à l'usurpation d'identité.
  • Coûts opérationnels: enquêtes forensiques, rotation massive d'identifiants, restauration et remédiation pèsent souvent bien plus que la perte immédiate causée par le miner.

Mesures opérationnelles mises en œuvre

Illustration cybersécurité

Organisations et SOC ont appliqué des mesures rapides pour contenir et limiter la propagation:

  • isolement des postes compromis et analyses forensiques pour évaluer l'étendue de l'exfiltration;
  • rotation des identifiants exposés et déploiement ou renforcement de l'authentification multifacteur pour les accès sensibles;
  • création de règles EDR visant la détection des désobfuscations de scripts et des patterns de téléchargement depuis processus non conventionnels;
  • blocage de wscript.exe et cscript.exe par stratégie de groupe sur les postes ne nécessitant pas ces outils pour le travail quotidien; mise en quarantaine des exécutables de minage connus.

Effets réglementaires et réputationnels

Une exfiltration d'identifiants ou un accès non autorisé à des données personnelles engage des obligations de notification au titre du RGPD si des données personnelles ont été concernées. Une campagne ciblée sur les équipes RH peut aussi fragiliser la confiance interne et nuire à l'image vis-à-vis des candidats et partenaires.

Recommandations opérationnelles (priorités immédiates)

  • Filtrer et traiter les pièces jointes: bloquer ou exécuter en bac à sable les .vbs et les fichiers à double-extension. Lorsqu'un CV est attendu, privilégier la conversion côté serveur en PDF sécurisé plutôt que l'ouverture locale.
  • Restreindre l'exécution de scripts: appliquer des politiques de groupe pour désactiver wscript.exe et cscript.exe sur les postes non administratifs et autoriser explicitement les usages métiers par exception.
  • Renforcer l'EDR: ajouter des règles heuristiques pour repérer la désobfuscation de scripts, les appels réseaux depuis processus scriptés et les anomalies d'utilisation CPU/GPU.
  • Sensibiliser les recruteurs et les équipes RH: sessions pratiques sur les indices d'un CV malveillant et checklists simples (vérifier l'adresse d'envoi, demander un lien ou un portfolio, ouvrir les CV via une visionneuse sécurisée).
  • Surveillance réseau: journaliser et centraliser les flux sortants, établir des listes blanches DNS/IP pour les services légitimes et bloquer les domaines ou IP suspectes détectées.

La défense doit combiner prévention technique, règles de plateforme et vigilance utilisateur. Les CV sont un appât trop efficace pour être ignoré; chaque recruteur informé réduit la surface d'attaque.

FAQ

Pourquoi les attaquants choisissent-ils des CV comme vecteur?

Les CV ciblent directement les recruteurs, qui ouvrent régulièrement ces documents et font confiance aux candidatures. Ce contexte d'usage tend à réduire la suspicion et augmente la probabilité que la pièce jointe soit ouverte.

Quels signaux permettent de repérer un VBScript obfusqué sur un poste?

Signes révélateurs: exécutions inattendues de wscript/cscript, présence de longues chaînes chiffrées ou encodées dans les scripts, appels réseau effectués par des processus scriptés, et lancement de PowerShell depuis un script .vbs.

Faut-il bloquer totalement l'exécution de scripts sur les postes?

Bloquer par défaut et autoriser explicitement est la meilleure pratique. Les environnements qui ont besoin de scripts doivent centraliser et signer ces scripts, ou les exécuter dans des zones contrôlées et auditées.

Quelles actions immédiates pour un SOC après détection d'un mail CV malveillant?

Isoler le poste, collecter artefacts (.vbs, journaux Windows, captures réseau), rechercher signes de mouvements latéraux, forcer la rotation des identifiants suspects et déployer règles de blocage pour les IOCs identifiés.

Comment concilier accessibilité RH et sécurité?

Mettre en place des workflows sécurisés: réception centralisée des candidatures, conversion automatique des pièces jointes en formats lisibles côté serveur, et formation ciblée des recruteurs pour vérifier l'authenticité des candidatures.

Questions fréquentes

Pourquoi les attaquants choisissent-ils des CV comme vecteur?

Les CV ciblent directement les recruteurs, qui ouvrent souvent ces documents et font confiance aux candidatures. Ce contexte d'usage réduit la suspicion et augmente la probabilité que la pièce jointe soit ouverte.

Quels signaux permettent de repérer un VBScript obfusqué sur un poste?

Signes révélateurs: exécutions inattendues de wscript/cscript, scripts contenant de longues chaînes chiffrées ou encodées, appels réseau initiés par processus scriptés, et exécution de PowerShell depuis un .vbs.

Faut-il bloquer totalement l'exécution de scripts sur les postes?

Bloquer par défaut et autoriser explicitement réduit la surface d'attaque. Les scripts nécessaires au métier doivent être signés, centralisés et exécutés dans des zones contrôlées et auditées.

Quelles actions immédiates pour un SOC après détection d'un mail CV malveillant?

Isoler le poste, collecter artefacts (.vbs, journaux Windows, captures réseau), rechercher mouvements latéraux, forcer la rotation des identifiants suspects et déployer règles de blocage pour les IOCs connus.

Sources

Lire la suite