Microsoft a repris 6 domaines qui utilisaient des escroqueries COVID-19 pour détourner des comptes Office 365

En décembre 2019, un groupe de cybercriminels a lancé une campagne de phishing intelligente ciblant des organisations dans 62 pays à travers le monde. Leur objectif était de détourner certains comptes Office 365 et d'accéder à tout, des listes de contacts aux fichiers sensibles. Microsoft a remarqué l'attaque et a pris des mesures pour protéger ses clients. La campagne a été initialement arrêtée, mais malheureusement, les mesures n'ont fonctionné que pendant un court instant et les pirates sont revenus avec une nouvelle vague d'attaques.

Étonnamment ou non, Microsoft est revenu à l'action et après avoir identifié certains des domaines utilisés pendant la campagne, il a intenté une action en justice et a demandé à en prendre le contrôle. Selon un document judiciaire publié par ZDNet mardi, le géant du logiciel contrôle désormais six domaines qui appartenaient jusqu'à récemment aux escrocs.

C'est certainement une bonne nouvelle, mais voyons si la décision du tribunal mettra définitivement fin aux attaques des criminels.

Une escroquerie par phishing COVID-19 cible les utilisateurs d'Office 365

L'arnaque a commencé avec un e-mail conçu par des réseaux sociaux. Les messages indiquaient qu'un employé de l'organisation ou un partenaire de confiance partageait un document Office 365, et initialement, les cibles étaient faites pour penser qu'en cliquant sur le lien dans l'e-mail, ils verraient quelque chose comme un rapport financier trimestriel. Cependant, au milieu de la pandémie de coronavirus, les pirates ont commencé à déguiser leurs liens malveillants en documents commerciaux liés à COVID-19.

Comme vous pouvez l'imaginer, le lien dans l'e-mail n'a pas conduit à un document Office 365 de toute description. Selon ZDNet, il a d'abord envoyé les utilisateurs vers le formulaire de connexion légitime de Microsoft, et après une authentification réussie, il les a redirigés vers l'un des domaines saisis.

Une attaque de phishing avec une touche

Le but ultime des attaquants était de reprendre le compte Office 365 de la cible, mais curieusement, ils ne l'ont pas fait à l'aide des informations de connexion. Au lieu de cela, ils l'ont fait via des applications Office 365 malveillantes hébergées sur les domaines que Microsoft possède désormais.

L'utilisation efficace d'Office 365 dans certaines organisations dépend de diverses applications qui améliorent les fonctionnalités ou la sécurité du service, et les utilisateurs ne sont pas étrangers à les connecter à leurs comptes. Toutes les applications Office 365 demandent des autorisations avant de se connecter au compte de l'utilisateur, et les applications malveillantes des escrocs ne font pas exception. Trompés par l'air de légitimité créé par la conception des applications, les victimes tombées pour l'arnaque ont donné aux cybercriminels un accès plus ou moins illimité à leurs e-mails, fichiers, listes de contacts et paramètres. Et ils l'ont fait sans dévoiler leurs mots de passe.

Il s'agissait d'une attaque sophistiquée BEC (Business Email Compromise), et il est difficile d'imaginer combien cela aurait pu coûter. La saisie des domaines malveillants signifie que les applications ne sont plus actives et la campagne s'est arrêtée pour l'instant, mais malheureusement, nous avons du mal à voir ce qui pourrait empêcher les cybercriminels d'enregistrer de nouveaux domaines et de renouveler leurs efforts à tout moment.

Les applications Office 365 malveillantes représentent un vecteur d'attaque inhabituel et relativement nouveau, et comme vous pouvez le voir, il peut être impitoyablement efficace. Les entreprises et les organisations qui utilisent les services de Microsoft ne doivent pas le sous-estimer et doivent l'inclure dans leurs modèles de menace le plus rapidement possible.