Les mails malveillants sont devenus de véritables pièges numériques, souvent difficiles à détecter au premier coup d’œil. Récemment, j’ai identifié un courriel suspect adressé à deux utilisateurs au sein d’une messagerie interne. Ce mail semblait banal, mais en l’analysant étape par étape, j’ai découvert une tentative de phishing, combinant usurpation d’adresse, pièce jointe DOCX et redirection via QR Code vers un site frauduleux.
Dans cet article, je vous emmène dans les coulisses de cette analyse : comment j’ai confirmé la menace, identifié les artefacts techniques et quelles recommandations j’ai pu en tirer pour renforcer la sécurité des utilisateurs.
1. Détection initiale
J’ai repéré un courriel suspect adressé à deux utilisateurs. L’email a été importé au format .eml dans Sublime Security, qui l’a immédiatement classé comme malicious.
Bien que l’outil fournisse une analyse automatisée et détaillée, j’ai choisi de mener une investigation manuelle afin de confirmer la détection, d’identifier les techniques employées et d’évaluer les risques pour les destinataires.
2. Analyse des en-têtes et spoofing
J’ai ouvert le fichier EML avec EML Reader pour analyser plus en détail l’expéditeur, le destinataire et les métadonnées.
Résultat : source et destination identiques, indiquant une tentative d’usurpation (spoofing), un DMARC et SPF en fail.
3. Extraction de la pièce jointe
Le mail contenait une pièce jointe stockée au format Base64, un encodage standard utilisé dans les emails pour transférer les fichiers. J’ai extrait cette pièce jointe avec CyberChef et sauvegardé le fichier afin de pouvoir l’analyser en toute sécurité.
4. Conversion du DOCX en PDF
La pièce jointe extraite était un fichier DOCX. Par précaution, je l’ai convertie en PDF via iLovePDF afin de limiter les risques.
5. Analyse du PDF
Le PDF contenait une promesse de compensation financière et incitait l’utilisateur à scanner un QR Code redirigeant vers un site externe.
6. Scan du QR Code
Le QR Code a été scanné via QRScanner.net, permettant d’obtenir une URL suspecte :
globaleducation.agilecrm.com (redirecteur) manicure2110.maxrivai.com.de (site final de phishing)
7. Vérification de l’URL
L’URL extraite a été testée via VirusTotal et dans un environnement isolé avec Browserling. Les résultats confirment la nature malveillante du site.
Conclusion et recommandations
Cette analyse démontre une tentative de phishing élaborée reposant sur :
- L’usurpation d’adresse expéditeur (spoofing)
- L’utilisation d’une pièce jointe DOCX comme leurre
- L’incitation à visiter un site frauduleux via un QR Code
Cette méthodologie m’a permis de confirmer la détection, caractériser la menace et limiter les risques pour l’environnement interne.
Recommandations :
- Blocage des domaines et de l’adresse IP associée :
51.79.209.15
globaleducation.agilecrm.com
manicure2110.maxrivai.com.de - Sensibilisation immédiate des utilisateurs ciblés, accompagnée d’un changement de mot de passe.
- Renforcement des règles de filtrage pour détecter ce type de vecteur (QR Code + DOCX)
Source : @nop_fix
