Microsoft cible six domaines utilisés dans des opérations de phishing en lien avec la pandémie

Spread the love
Microsoft cible six domaines utilisés dans des opérations de phishing en lien avec la pandémie

Microsoft a obtenu ce mois-ci une ordonnance de la cour lui permettant de prendre le contrôle de six domaines qui ont été utilisés dans des opérations de phishing contre des clients d’Office 365, y compris dans des campagnes qui utilisaient des leurres sur la Covid-19. Selon des documents judiciaires obtenus par ZDNet, Microsoft a ciblé une opération d’hameçonnage qui vise les clients de l’entreprise depuis décembre 2019.

Deux personnes opéraient en envoyant des courriels aux entreprises hébergeant des serveurs de messagerie et l’infrastructure d’entreprise sur le service cloud Office 365 de Microsoft. Les courriels ont été falsifiés pour donner l’impression qu’ils provenaient de collègues ou d’un partenaire commercial de confiance. Cette opération de phishing particulière était unique car les attaquants ne redirigeaient pas les utilisateurs vers des sites de phishing qui imitaient la page de connexion d’Office 365.

Au lieu de cela, les pirates informatiques ont vendu un document Office. Lorsque les utilisateurs ont essayé d’ouvrir le fichier, ils ont été redirigés vers l’installation d’une application Office 365 tierce malveillante créée par les pirates.

publicité

Porte d’entrée au compte Office 365

L’application, une fois installée, permettait aux attaquants d’avoir un accès complet au compte Office 365 de la victime, à ses paramètres, aux fichiers de l’utilisateur, au contenu de ses courriels, à ses listes de contacts, à ses notes et autres.

Microsoft explique qu’en utilisant une application tierce d’Office 365, les pirates ont obtenu tout l’accès dont ils avaient besoin aux comptes des utilisateurs sans avoir besoin de collecter leurs mots de passe, en recevant un jeton OAuth2 à la place.

Si certaines de ces attaques de phishing ont réussi, cela s’explique par trois raisons. La première, c’est que l’application a été conçue pour donner l’impression d’avoir été créée par Microsoft, elle semblait être une application officielle et sûre à utiliser. La deuxième est que l’environnement Office 365 est orienté vers la modularité offerte par des applications tierces, soit créées sur mesure par les entreprises, soit facilement disponibles sur l’AppSource Store d’Office 365, et que les utilisateurs sont habitués à installer régulièrement des applications. Troisièmement, les pirates ont utilisé une technique astucieuse où le lien d’installation de l’application dirigeait d’abord les utilisateurs vers la page de connexion officielle de Microsoft. Ensuite, ils les redirigeraient vers l’application malveillante, une fois l’authentification réussie, donnant aux utilisateurs l’impression d’utiliser une application testée par Microsoft.

Du business au coronavirus

Microsoft a déposé une plainte au civil le 30 juin dernier, et la société a ciblé six domaines que les pirates ont utilisés pour héberger leurs applications malveillantes Office 365. Les six domaines sont listés dans le tableau ci-dessous :

Microsoft estime qu’au moins deux personnes sont derrière cette opération de phishing. L’entreprise a fait remarquer que les premières attaques du groupe ont commencé par des thèmes liés aux affaires, mais qu’elles se sont rapidement transformées en courriels portant sur le thème du coronavirus une fois que la Covid-19 a atteint le statut de pandémie mondiale.

Le but final des hackers était une attaque de type BEC

Dans un billet de blog publié ce mardi, Tom Burt, vice-président de la société Customer Security and Trust chez Microsoft, précise que les applications tierces malveillantes étaient utilisées pour mieux comprendre la structure interne des victimes afin que les attaquants puissent poursuivre les attaques BEC.

Dans un système BEC, les acteurs de la menace envoient des courriels aux entreprises, en se faisant passer pour des employés, des cadres supérieurs ou des partenaires commerciaux de confiance, et demandent aux victimes d’effectuer des transactions commerciales qui aboutissent généralement sur les comptes bancaires de l’attaquant. L’objectif d’une escroquerie de type BEC est d’utiliser des comptes de courrier électronique piratés ou des connaissances d’initiés pour inciter les victimes à modifier les détails des transactions ou à effectuer des paiements sans suivre les procédures appropriées.

Les escroqueries BEC sont, de loin, la catégorie de cybercriminalité la plus importante aujourd’hui. En février, le FBI a déclaré que les escroqueries BEC représentaient la moitié des pertes dues à la cybercriminalité signalées au Centre de plaintes pour les crimes sur internet du FBI (IC3) en 2019. Selon le FBI, les entreprises ont perdu 1,77 milliard de dollars à cause des escroqueries BEC en 2019, avec une perte moyenne de 75 000 dollars par rapport.

Source : ZDNet.com

Leave a Reply