Le navigateur Web est l'application la plus utilisée sur n'importe quel ordinateur. Si de base, il s'agissait d'une porte d'accès sur Internet, aujourd'hui, il est devenu la cible privilégiée pour orchestrer une cyberattaque avec des groupes qui se spécialisent dans les moindres détails techniques de leur fonctionnement.
Aujourd'hui, on estime que plus de 80% des incidents de sécurité en entreprise implique au début le navigateur web. Le groupe Scattered Spider, aussi connu sous les noms UNC3944, Octo Tempest ou Muddled Libra, a fait de cette surface d'attaque sa spécialité depuis deux ans.
Scattered Spider se distingue des autres groupes criminels comme Lazarus ou Fancy Bear par son approche ciblée. Plutôt que de mener des campagnes de phishing massives et grossières, ces hackers passent au crible le fonctionnement de Chromium, Firefox ou Safari pour des opérations chirurgicales. Ils commencent souvent ses attaques par une phase de reconnaissance utilisant les API web comme WebRTC ou les techniques de fingerprinting pour cartographier l'environnement cible. Le groupe identifie les applications fréquemment utilisées, les extensions installées, et trace les comportements spécifiques des utilisateurs pour optimiser ses futures attaques.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Comment Scattered Spider transforme le navigateur en arme
Le groupe a récemment fait parler de lui pour le vol de sessions authentifiées. Cette technique consiste à contourner l'authentification multi-facteurs (MFA) en capturant directement les tokens et cookies stockés dans la mémoire du navigateur. Concrètement, quand un employé se connecte à son espace Office 365 ou Google Workspace, le navigateur conserve des jetons d'authentification pour éviter de redemander le mot de passe. Si Scattered Spider récupère ces éléments, le groupe peut accéder aux comptes sans jamais posséder les identifiants originaux.
Ils savent également comment repérer des failles zero-day, à l'image des vulnérabilités récentes CVE-2025-6558 et CVE-2025-6554 sur Chromium. Celles-ci ont été activement exploitées par des attaquants pour exécuter du code malveillant à distance. Ces brèches permettent notamment de voler des clés API ou des tokens de session directement depuis une page web apparemment anodine.
Une autre arme maitrisée par Scattered Spider, c'est la technique du Browser-in-the-Browser (BitB). Les hackers utilisent des overlays de phishing sophistiqués, lesquels reproduisent parfaitement l'interface de connexion d'un service légitime. Mais en arrière-plan, ils capturent les identifiants. Ces fausses fenêtres contournent les outils de détection traditionnels comme les solutions EDR (Endpoint Detection and Response).
Le groupe déploie aussi des scripts malveillants qui s'exécutent directement dans le navigateur ou utilise de fausses extensions pour installer des charges utiles. Ces dernières peuvent demander des permissions invasives : accès à tous les sites visités, lecture et modification du contenu, interaction avec le stockage local. Une fois installées, elles deviennent des outils d'espionnage permanents.
Bien souvent, ce sont les fonctionnalités de remplissage automatique des navigateurs deviennent des cibles. Scattered Spider peut extraire les mots de passe sauvegardés, les informations de cartes bancaires et les données personnelles stockées localement, sans que l'utilisateur s'en aperçoive.
Source : HackerNews
