* ClickFix, technique d'ingénierie sociale, a explosé de 500 % et devient le 2e mode opératoire après l'hameçonnage avec 8 % des attaques bloquées. * SnakeStealer supplante Agent Tesla comme infostealer * ESET contribue à la perturbation des opérations de Lumma Stealer et Danabot aux côtés des forces de l'ordre. * Les rivalités entre gangs de ransomware (notamment RansomHub) font chuter le nombre de paiements de rançon malgré la hausse des attaques. * Les adwares Android explosent (+160 %) via Kaleidoscope, les fraudes NFC avec GhostTap et SuperCard X facilitent le vol de portefeuilles numériques.
ESET publie son rapport semestriel sur les menaces numériques, couvrant la période de décembre 2024 à mai 2025. La tendance majeure révélée est l'explosion des attaques utilisant ClickFix, qui ont bondi de plus de 500 % par rapport au second semestre 2024. Cette technique d'ingénierie sociale représente désormais près de 8 % de toutes les cyberattaques bloquées au premier semestre 2025, devenant le deuxième vecteur d'attaque le plus répandu après l'hameçonnage.
Les attaques ClickFix exploitent de faux messages d'erreur pour inciter les victimes à copier-coller et exécuter des commandes malveillantes sur leurs systèmes. Cette technique multiplateforme cible Windows, Linux et macOS. Les attaques ClickFix représentent une menace croissante, incluant le vol de données, les ransomwares, les chevaux de Troie, les cryptomineurs, les outils de post-exploitation et même des logiciels malveillants sur mesure développés par des acteurs soutenus par des Etats-nations , explique Jiří Kropáč, directeur des laboratoires de prévention des menaces chez ESET.
Le paysage des infostealers a été bouleversé par le déclin d'Agent Tesla, remplacé par SnakeStealer (également connu sous l'appellation Snake Keylogger). Ce malware combine enregistrement de frappe de clavier, vol d'identifiants, captures d'écran et collecte de données du presse-papiers. Parallèlement, ESET a participé au démantèlement de Lumma Stealer et Danabot. Avant leur neutralisation, ces deux malware-as-a-service affichaient une croissance inquiétante : +21 % pour Lumma Stealer et +52 % pour Danabot au premier semestre 2025. La France étant au second rang des pays les plus touchés par Lumma Stealer.
L'écosystème rançongiciel traverse une période de turbulences avec des conflits internes affectant plusieurs groupes, notamment RansomHub, leader du ransomware-as-a-service. Malgré l'augmentation des attaques et du nombre de gangs actifs en 2024, les paiements de rançons ont chuté significativement. Cette baisse s'explique par les exit scams et la perte de confiance des victimes envers la capacité des cybercriminels à respecter leurs engagements.
Sur Android, les détections d'adwares ont explosé de 160 %, principalement dues à Kaleidoscope, un malware sophistiqué utilisant la technique du "evil twin" ou jumeau maléfique, pour distribuer des applications malveillantes générant des publicités intrusives. Simultanément, les fraudes NFC ont été multipliées par 35, alimentées par des campagnes d'hameçonnage et des techniques de relais innovantes. Bien que les volumes restent modestes, cette progression souligne l'évolution rapide des méthodes criminelles ciblant la technologie NFC.
Les recherches d'ESET sur GhostTap révèlent comment ce malware dérobe les données bancaires pour permettre aux attaquants de charger les cartes des victimes dans leurs propres portefeuilles numériques et d'intercepter les paiements sans contact à l'échelle mondiale. Les groupes de fraude organisées utilisent des réseaux de téléphones pour amplifier ces escroqueries. SuperCard X propose une approche malware-as-a-service simplifiée, se déguisant en application NFC légitime pour capturer et relayer discrètement les données bancaires en temps réel.
Entre innovations en ingénierie sociale, sophistication des malwares mobiles et perturbations majeures de réseaux criminels, le paysage cyber du premier semestre 2025 s'est montré particulièrement dynamique , conclut Kropáč sur ce rapport d'ESET.
Pour plus d'informations, consultez le rapport complet sur WeLiveSecurity.com.
