Microsoft 365 : avis aux chefs d’entreprise, gare au phishing !

Les chercheurs en sécurité informatique de Proofpoint viennent de découvrir l'existence d'une vaste campagne de phishing organisée sur Microsoft 365. Les pirates ciblent en priorité des cadres, des chefs d'entreprise ou des salariés en charge d'informations sensibles ou d'actifs financiers.

Alors que Microsoft Teams est régulièrement détourné par les pirates russes pour infiltrer des gouvernements et des agences gouvernementales, Microsoft 365 est lui aussi souvent pris pour cible par des hackers.

En effet, l'abonnement qui permet d'accéder à l'ensemble des logiciels de bureautique de Microsoft est une merveille pour les pirates, qui s'en servent pour lancer de vastes opérations de phishing. En 2021, nous avons alerté nos lecteurs contre cette attaque de phishing menée contre les utilisateurs de Microsoft 365 justement.

Or, des chercheurs en sécurité informatique de Proofpoint viennent de découvrir l'existence d'une nouvelle campagne de phishing. L'objectif principal des pirates : voler des comptes Microsoft 365. Pour ce faire, ils s'appuient sur un fournisseur de logiciels d'hameçonnage baptisé EvilProxy.

Gare à cette nouvelle campagne de phishing sur Microsoft 365

Cet outil, facturé 400 dollars par mois, a été utilisé par les auteurs des méfaits pour envoyer pas moins de 12 000 mails malveillants à plus d'une centaine d'organisations au cours des deux derniers mois. Via cette campagne de phishing, les pirates ont tenté de voler des identifiants de connexion ainsi que les codes d'authentification à double-facteur. La méthode employée est très simple : les pirates se font passer pour des services Microsoft et intègrent des liens vérolés dans ces mails malveillants. 

En cliquant dessus, les victimes sont redirigées sur un faux formulaire, spécialement conçu pour récupérer leurs informations de connexion. “Afin de dissimuler l'adresse électronique de l'utilisateur aux outils d'analyse automatique, les attaquants ont utilisé un codage spécial de l'adresse électronique de l'utilisateur et se sont servis de sites web légitimes pour télécharger leur code PHP afin de décoder l'adresse électronique d'un utilisateur en particulier”, explique Proofpoint dans son rapport.

D'après les experts de Proofpoint, les attaquants seraient originaires de Turquie, car les utilisateurs avec des adresses IP situées en dans le pays sont immédiatement redirigés vers le site légitime, et non la copie malveillante façonnée par les pirates. Par ailleurs et comme dit plus haut, les pirates visent principalement des personnes occupant des positions élevées dans leurs entreprises respectives. Près de 40% des victimes étaient des cadres, 9 % des PDG et des directeurs adjoints, et 17% des directeurs financiers.

Source : TechRadar