Actualités

Office 365 : nouvelle campagne de phishing ciblant spécifiquement des responsables ou dirigeants d’entreprise !

Area 1 alerte : le billet sécuritaire remontant au 18 Mars 2021 fait état d’une campagne de phishing bien ciblé et déployant des outils ou subterfuges assez élaborés. Cette campagne ciblerait les postes à haute responsabilité et directement relié à un compte sous Office 365…

 

 

Amorcée en Décembre 2020, cette campagne de phishing a été observée jusqu’en Février dernier : ici, l’hameçonnage n’était pas global. Il était conçu pour attirer l’œil d’un salarié ou employeur haut placé tel qu’un cadre ou dirigeant d’un service. Il est évoqué des postes tels que les trésoriers ou les services assimilés, notamment au sein d’entreprise assez massive ou ayant un poids mondial assez conséquent. “En ciblant les services financiers de ces entreprises, les attaquants pourraient potentiellement accéder aux données sensibles de tiers via des factures et des facturations, communément appelées attaque BEC (Business Email Compromise). Cela permet aux attaquants d’envoyer des factures contrefaites à partir d’adresses e-mail légitimes aux fournisseurs, ce qui entraîne des paiements vers les comptes appartenant à l’attaquant“, est-il ajouté.

 

 

Les assistant(e)s de direction y passaient, également : par le biais de C-Suite. Le cas des nouveaux arrivants à un post important est également souligné : en effet, il arrive souvent que les débuts d’une prise de poste soit naturellement chaotique ; un point exploité par les cyber-attaquants qui ont pu joué sur l’ignorance légitime de la victime ce qui a donner plus de crédibilité ou de force au phishing ainsi envoyé. Autre ruse : la campagne œuvrait autour d’un prétexte de mise à jour d’Office 365. En réalité, les liens ou PJs inclus dans le mail frauduleux renvoyait à l’amorce de la viralité. “La plupart des messages d’hameçonnage avaient pour objet «Modifications importantes du service» et contenaient un certain nombre de noms d’affichage d’expéditeurs allant des adresses génériques «sans réponse» aux noms propres à l’entreprise. Cependant, d’autres lignes d’objet, comme observé dans les campagnes connexes supplémentaires, incluaient «Nouvelle politique PDF», «Service PDF» et «Message vocal reçu d’un identifiant d’appelant non identifié». Ces campagnes associées ont adapté les messages en incluant également le nom de l’entreprise ciblée dans la ligne Objet. Pour ajouter de la légitimité aux messages, une très grande majorité des e-mails de phishing observés ont été envoyés à partir d’adresses avec des domaines d’expéditeur sur le thème de Microsoft, tels que microsoftoutlookwebservices [.] En ligne et outlookonlinewebservices-com [.] En ligne. Les attaquants ont également correctement configuré les enregistrements SPF“.

Une fois la mise à jour installée, la victime devra cliquer sur “appliquer la mise à jour” pour être véritablement conduite vers le site de phishing. Avec ou sans authentification préalable – il faut cliquer sur “accepter“, concernant une pseudo-politique de confidentialité – l’ex-filtration de données (y compris le mot de passe) s’opère depuis les redirections HTTP via les champs dédiés sous JavaScript ou Meta. Le leurre duplique presque parfaitement la page de connexion de Microsoft, en intégrant un logo dynamique. Comble de la finesse : une pré-vérification pouvait être faite pour confirmer de manière distante si l’adresse mail renseignée par la victime était issue d’un compte Office 365 existant ! Enfin, l’usage de websocket a été détecté : cela permettait de charger avec fluidité des images ou captures d’écran pour prolonger l’illusion aux yeux de l’utilisateur afin que celui-ci puisse croire en toute quiétude qu’il résidait sur les pages de connexion du site-serveur (légitime) de Microsoft… A veiller !

 

 

Source : Blog Area1 – 18 Mars 2021 – Office 365 : nouvelle campagne de phishing détectée (indicateurs de compromissions + listing des sites compromis)




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2