La nouvelle plateforme ATHR automatise des attaques de vishing pilotées par l'IA pour voler des identifiants
Une nouvelle plateforme de phishing combine IA et opérateurs humains
Une plateforme de cybercriminalité appelée ATHR est commercialisée comme une solution clé en main pour mener des campagnes de hameçonnage vocal (vishing) entièrement automatisées qui combinent appâts par email, ingénierie sociale téléphonique et vol d'identifiants dans un seul package. Selon des chercheurs de la société de sécurité des emails cloud Abnormal, le service est conçu pour exécuter toute la chaîne de distribution d'attaques orientées sur le téléphone (telephone-oriented attack delivery, ou TOAD) avec un minimum d'effort de la part de l'opérateur.
La plateforme est annoncée sur des forums souterrains à 4 000 $, plus une commission de 10 % sur les bénéfices. Abnormal indique qu'ATHR peut être utilisé pour voler les données de connexion de plusieurs services majeurs, dont Google, Microsoft et Coinbase, et au moment de son analyse il prenait en charge huit services en ligne au total : Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo et AOL.
Des appâts par email entraînent les victimes dans des arnaques téléphoniques
ATHR est conçu pour gérer l'attaque depuis le premier appât jusqu'à la capture finale des données. Le processus commence par un email destiné à passer à la fois un examen superficiel et les vérifications d'authentification techniques. Les messages sont adaptés à des marques et des cibles spécifiques, et la plateforme inclut des mécanismes de usurpation destinés à faire apparaître l'email comme provenant d'un expéditeur de confiance.
Abnormal précise que l'appât est généralement présenté comme une fausse alerte de sécurité ou une notification de compte, choisi parce qu'il est suffisamment urgent pour provoquer un appel mais assez générique pour éviter les filtres basés sur le contenu.
« L'appât est généralement une fausse alerte de sécurité ou une notification de compte — quelque chose d'assez urgent pour inciter à appeler, mais assez générique pour éviter de déclencher les filtres basés sur le contenu », note Abnormal dans son rapport.
C'est lors de cet appel téléphonique que l'automatisation d'ATHR devient la plus notable. Lorsque la victime compose le numéro inclus dans l'email, l'appel est acheminé via Asterisk et WebRTC vers des agents vocaux d'IA alimentés par des prompts qui dirigent l'interaction.
Des agents d'IA gèrent l'ingénierie sociale
Protégez votre vie privée avec Doppler VPN
3 jours d'essai gratuit. Sans inscription. Sans journaux.
Les agents vocaux sont configurés pour guider la cible à travers un scénario de sécurité scripté, en utilisant des prompts prédéfinis qui façonnent le ton, la personnalité et le comportement afin de ressembler au personnel de support légitime. Dans les attaques à thème Google, par exemple, le système imite les procédures de récupération et de vérification de compte, dans le but de persuader la victime de fournir un code de vérification à six chiffres.
Ce code est l'information clé nécessaire pour prendre le contrôle du compte.
ATHR ne repose pas uniquement sur l'IA. La plateforme offre également l'option d'acheminer les appels vers un opérateur humain. Mais Abnormal explique que l'option IA est ce qui distingue le système, car elle permet d'automatiser la phase d'ingénierie sociale au lieu d'exiger qu'un arnaqueur en direct reste en ligne pour chaque cible.
Le résultat est une plateforme capable d'exécuter l'ensemble de la chaîne d'attaque avec peu d'intervention manuelle. Le tableau de bord d'ATHR donne aux opérateurs le contrôle sur la distribution des emails, la gestion des appels et les opérations de phishing, tout en fournissant des données en temps réel au niveau de la cible et des journaux contenant les informations volées.
Une version plus packagée des attaques TOAD
Abnormal décrit ATHR comme un générateur complet d'attaques de phishing et de vishing. Cette présentation est importante parce que les attaques TOAD ont traditionnellement obligé les attaquants à assembler plusieurs éléments eux-mêmes : infrastructure email, systèmes d'appel, scripts, outils de collecte d'identifiants et une équipe capable de gérer les victimes en temps réel.
ATHR rassemble ces étapes en une seule interface. Les chercheurs avertissent que cela réduit la barrière technique pour les éventuels attaquants et permet à des criminels moins expérimentés de lancer des campagnes de vishing automatisées sans construire leur propre infrastructure.
« Le passage d'une opération fragmentée et manuellement intensive à une offre produit largement automatisée signifie que les attaques TOAD ne nécessitent plus de grandes équipes ou d'infrastructures spécialisées », met en garde Abnormal.
Cette industrialisation est ce qui rend ATHR particulièrement inquiétant. En mêlant opérateurs humains et agents vocaux d'IA, la plateforme offre de la flexibilité aux attaquants tout en supprimant une grande partie du travail qui limitait autrefois l'ampleur de ces arnaques. L'appât par email, l'appel téléphonique, le flux de récupération scripté et la récolte finale des identifiants sont tous gérés au sein du même système, créant un chemin rationalisé du premier contact à la compromission du compte.
À mesure que les outils d'IA deviennent plus faciles à déployer, ATHR montre à quelle vitesse ces capacités peuvent être intégrées aux services criminels. Dans ce cas, la technologie n'aide pas seulement le phishing ; elle contribue à automatiser l'ensemble de l'opération d'ingénierie sociale.
Sources :