Les méthodes de phishing modernes incluent l’abus de services cloud légitimes pour contourner les solutions de sécurité des e-mails et envoyer un e-mail malveillant directement dans la boîte de réception de la victime.
Dans ce dernier exemple, les chercheurs en cybersécurité de Trustwave ont trouvé un acteur malveillant abusant des services de gestion des droits (RMS) de Microsoft pour fournir des liens vers de fausses pages de destination à leurs victimes. Les attaques sont très ciblées et assez difficiles à atténuer, selon les chercheurs.
Lors de l’attaque, les acteurs de la menace utiliseront un compte de messagerie précédemment volé pour envoyer un message à leur victime. Le message contiendra une pièce jointe créée à l’aide du service RSM, ce qui signifie qu’il sera crypté et portera l’extension .RPMSG. Microsoft a conçu RSM pour offrir une couche de protection supplémentaire aux fichiers sensibles, en obligeant les lecteurs à s’authentifier en premier.
Voler des données sensibles
L’authentification peut être effectuée soit à l’aide du compte Microsoft, soit via un mot de passe à usage unique.
Une fois que les utilisateurs se seront authentifiés et auront la possibilité de lire le message, ils seront redirigés vers un faux document SharePoint hébergé sur le service InDesign d’Adobe. Le document contient un appel à l’action « Cliquez ici pour afficher le document », qui amène les utilisateurs à une page vide avec un message « Chargement ». Ce n’est qu’une distraction, tandis qu’un script malveillant siphonne des données sensibles en arrière-plan.
Les données incluent l’identifiant du visiteur, le jeton de connexion et le hachage, les informations de rendu de la carte vidéo, la langue du système, la mémoire de l’appareil, la simultanéité matérielle, les plug-ins de navigateur installés, les détails de la fenêtre du navigateur et l’architecture du système d’exploitation. Une fois ce processus terminé, la page se rechargera dans un faux formulaire de connexion Microsoft 365 qui vole les identifiants de connexion du visiteur et les envoie aux attaquants.
« Éduquez vos utilisateurs sur la nature de la menace et ne tentez pas de déchiffrer ou de déverrouiller des messages inattendus provenant de sources extérieures », a déclaré Trustwave dans son rapport.
« Pour éviter que les comptes Microsoft 365 ne soient compromis, activez l’authentification multifacteur (MFA). »
L’authentification multifacteur n’est pas infaillible, mais oblige les pirates à travailler beaucoup plus dur pour accéder aux terminaux de leur cible. Étant donné qu’il est assez simple à mettre en place, MFA est salué par la communauté de la cybersécurité et est considéré comme la norme de l’industrie.
Via : BleepingComputer