la menace ont exploité une approche peu commune qui a permis d’envoyer de faux e-mails via l’infrastructure de Google et de rediriger les destinataires des messages vers des sites frauduleux qui récoltent leurs informations d’identification.

« La première chose à noter est qu’il s’agit d’un e-mail valide et signé – il a vraiment été envoyé depuis no-reply@google.com », a déclaré Nick Johnson, le développeur principal de l’Ethereum Name Service (ENS), dans une série de publications sur X.

« Il passe le contrôle de signature DKIM et Gmail l’affiche sans aucun avertissement. Il le place même dans la même conversation que d’autres alertes de sécurité légitimes. »

Le message électronique informe les cibles potentielles d’une assignation à comparaître d’une autorité chargée de l’application de la loi demandant un contenu non spécifié présent dans leur compte Google et les exhorte à cliquer sur une URL sites.google[.]com afin « d’examiner les documents de l’affaire ou de prendre des mesures pour soumettre une protestation ».

L’URL de Google Sites affiche une page similaire à celle de l’assistance Google officielle, avec des boutons permettant de « télécharger des documents supplémentaires » ou « consulter le dossier ». En cliquant sur l’une de ces options, la victime est redirigée vers une page de connexion à un compte Google, la seule différence étant qu’elle est hébergée sur Google Sites.

« sites.google.com est un produit hérité d’avant que Google ne prenne la sécurité au sérieux ; il permet aux utilisateurs d’héberger du contenu sur un sous-domaine google.com et, surtout, il prend en charge les scripts et les intégrations arbitraires », a déclaré Johnson.

« Cela simplifie évidemment la création d’un site de collecte d’identifiants ; il suffit d’être prêt à télécharger de nouvelles versions lorsque les anciennes sont supprimées par l’équipe Google chargée de la gestion des abus. De plus, l’impossibilité de signaler les abus depuis l’interface Sites est un avantage pour les attaquants. »

Un aspect astucieux de l’attaque est le fait que le message électronique a l’en-tête « Signé par » défini sur « accounts.google[.]com » alors qu’il a un en-tête « Envoyé par » avec un domaine complètement indépendant (« fwd-04-1.fwd.privateemail[.]com »).

L’activité malveillante a été caractérisée comme une attaque par relecture DKIM , où l’attaquant crée d’abord un compte Google pour un domaine nouvellement créé (« me@<domaine> »), puis une application Google OAuth avec le nom qui inclut l’intégralité du contenu du message de phishing.

« Ils autorisent désormais leur application OAuth à accéder à leur compte Google “me@…” », explique Johnson. « Cela génère un message d’alerte de sécurité de Google, envoyé à leur adresse e-mail “me@…”. Puisque Google a généré l’e-mail, il est signé avec une clé DKIM valide et passe toutes les vérifications. »

L’attaquant transfère ensuite le même message depuis un compte Outlook, en conservant la signature DKIM et en contournant les filtres de sécurité, selon EasyDMARC. Le message est ensuite relayé via un service SMTP (Simple Mail Transfer Protocol ) personnalisé appelé Jellyfish et reçu par l’infrastructure PrivateEmail de Namecheap, qui facilite le transfert des messages vers le compte Gmail ciblé.

« À ce stade, l’e-mail atteint la boîte de réception de la victime en ressemblant à un message valide de Google, et tous les contrôles d’authentification indiquent qu’il passe SPF, DKIM et DMARC », a déclaré Gerasim Hovhannisyan, PDG d’EasyDMARC .

« Parce qu’ils ont nommé leur compte Google « moi@ », GMail indique que le message a été envoyé à « moi » en haut, ce qui est le raccourci qu’il utilise lorsqu’un message est adressé à votre adresse e-mail – évitant ainsi une autre indication qui pourrait déclencher des signaux d’alarme », a souligné Johnson.

Contacté pour un commentaire, Google a déclaré à The Hacker News qu’il avait déployé des correctifs pour arrêter la voie des abus et a souligné que l’entreprise ne demande pas d’informations d’identification de compte, telles que des mots de passe ou des mots de passe à usage unique, ni n’appelle directement les utilisateurs.

« Nous sommes conscients de ce type d’attaque ciblée de la part de cet acteur malveillant et avons déployé des mesures de protection pour bloquer cette voie d’abus », a déclaré un porte-parole de Google. « En attendant, nous encourageons les utilisateurs à adopter l’authentification à deux facteurs et les clés d’accès, qui offrent une protection renforcée contre ce type de campagnes de phishing. »

Cette révélation intervient près de neuf mois après que Guardio Labs a révélé une erreur de configuration désormais corrigée dans les défenses du fournisseur de sécurité de messagerie Proofpoint, que les acteurs de la menace ont exploitée pour envoyer des millions de messages usurpant l’identité de diverses entreprises populaires comme Best Buy, IBM, Nike et Walt Disney, et contourner les mesures d’authentification.

Cela coïncide également avec une augmentation des campagnes de phishing qui utilisent des pièces jointes au format Scalable Vector Graphics ( SVG ) pour déclencher l’exécution de code HTML qui, à son tour, redirige les utilisateurs vers un faux formulaire de connexion Microsoft ou une fausse page Web se faisant passer pour Google Voice pour les inciter à saisir leurs informations d’identification.

La société russe de cybersécurité Kaspersky a déclaré avoir observé plus de 4 100 e-mails de phishing contenant des pièces jointes SVG depuis le début de 2025.

« Les hameçonneurs explorent sans relâche de nouvelles techniques pour contourner la détection », a déclaré Kaspersky . « Ils diversifient leurs tactiques, utilisant parfois la redirection utilisateur et l’obscurcissement du texte, et parfois différents formats de pièces jointes. Le format SVG permet d’intégrer du code HTML et JavaScript dans les images, ce qui est utilisé à mauvais escient par les attaquants. »