Des cybercriminels ont mis au point une nouvelle campagne de phishing s’appuyant sur une méthode inédite et bien orchestrée afin de vous dérober vos identifiants Microsoft 365. Voici comment vous en prémunir.

Faux mails, faux appels, fausses applications même : on l’a déjà dit, les hackers ne cessent de redoubler d’ingéniosité lorsqu’il s’agit de voler vos données. Et vous n'êtes pas au bout de vos surprises. En effet, les cybercriminels ont élaboré un nouveau stratagème de phishing encore plus sophistiqué, afin de voler vos identifiants Microsoft 365.

Repérée par des chercheurs en cybersécurité de Push Security, cette méthode savamment orchestrée par des cybercriminels leur permet de passer sous les radars de la plupart des outils de sécurité, d’après nos confrères de BleepingComputer.

Ce stratagème inédit et sournois permet aux hackers de vous voler vos identifiants Microsoft 365

Cette démarche subtile combine malvertising, véritables liens office.com et l’outil Active Directory Federation Services (ADFS) de Microsoft. Bien que la firme de Redmond encourage ses clients à migrer vers Azure Active Directory pour la gestion des identifiants, l’ADFS est toujours disponible. Si cette solution d’authentification unique (SSO) a déjà été utilisée dans des campagnes de phishing, la méthode est ici plus sournoise. Concrètement :

• La victime recherche « Office 265 » à la place d’Office 365.
• Elle clique sur un lien sponsorisé malveillant (malvertising) dans les résultats de recherche Google.
• Elle est d’abord dirigée vers Microsoft Office.
• Puis elle est redirigée vers un autre domaine rempli de faux articles de blog afin de masquer l’attaque : bluegraintours[.]com. Les cybercriminels ont en effet configuré leur propre compte Microsoft avec l’ADFS, leur permettant ainsi de recevoir des requêtes d’autorisation depuis ce domaine, utilisé comme fournisseur d’identité (IAM).
• Cela permet aux pirates d’autoriser l’authentification sur une page de phishing identique aux pages de connexion légitime de Microsoft 365 vers laquelle la victime est finalement redirigée, afin de lui voler ses identifiants.

Deux autres critères montrent la sophistication de cette méthode : aucun mail de phishing semble n’avoir été impliqué, rendant inutiles les filtres de sécurité classiques. Les pirates ont aussi mis en place des restrictions conditionnelles : la page de phishing ne s’affichait que pour les cibles jugées valides, sinon l’internaute était automatiquement redirigé vers le site légitime d’Office. C’est ce mode opératoire qui permet aux pirates de déjouer les systèmes classiques de détection basés sur les URL, mais aussi le processus d’authentification multi-facteurs.

Push Security recommande aux internautes de rester vigilants : la moindre faute de frappe dans un navigateur peut mener à du malvertising. Quant aux équipes informatiques, les chercheurs leur conseillent de bloquer les publicités ou, au moins, de surveiller le trafic publicitaire, mais aussi les redirections ADFS et les paramètres publicitaires dans les redirections Google vers office.com. Selon eux, il ne s’agit pas ici d’attaques ciblées, mais plutôt d’expérimentations menées par un groupe de cybercriminels.