12/12/2024

Actu Cybersécurité

Les utilisateurs Microsoft 365 du secteur de la finance ciblés par le service de phishing ONNX

ONNX Store, c'est le nom d'une nouvelle plateforme de Phishing-as-a-Service (PhaaS) dont la spécialité est de cibler les comptes Microsoft 365 des salariés du secteur de la finance. Faisons le point sur cette menace.

Pour les cybercriminels, les comptes Microsoft 365 des utilisateurs représentent une cible privilégiée et l'occasion de mettre un pied dans le système d'information d'une organisation. L'accès à un compte Microsoft 365 donne généralement accès à des documents internes de l'entreprise, ainsi qu'à des e-mails, etc. Ce n'est donc pas étonnant de voir des plateformes de PhaaS s'intéresser particulièrement à ces comptes.

Phishing : un document PDF avec un QR code malveillant

Les chercheurs en sécurité de chez EclecticIQ ont fait la découverte d'ONNX Store, qui pourrait bien être le nouveau nom du kit de phishing Caffeine. "En février 2024, les analystes d'EclecticIQ ont découvert des campagnes de phishing ciblant les institutions financières.", peut-on lire dans le rapport d'EclecticIQ. Les employés de banques et de sociétés de financement privées sont notamment pris pour cible.

Pour tenter de piéger les utilisateurs, les pirates distribuent des e-mails de phishing comprenant une pièce jointe au format PDF. Cet e-mail vise à se faire passer pour le service RH de l'entreprise, en prétextant une bonne nouvelle : une augmentation de salaire. Mais, pour en savoir plus, l'utilisateur doit ouvrir le fichier PDF. Quant au document PDF, il contient un QR code malveillant et reprend le thème graphique d'Adobe ou de Microsoft. Cette technique permet de contourner de nombreux systèmes de protection.

Campagne Phishing Microsoft 365 - Exemple juin 2024
Source : EclecticIQ

Lorsque l'utilisateur scanne le QR code avec son mobile, il est redirigé vers une fausse page d'authentification Microsoft 365. Il est invité à saisir ses identifiants et son code 2FA si l'authentification multifacteurs est utilisée. Dans la foulée, ces informations sont transmises aux cybercriminels et ils peuvent profiter du jeton d'authentification pour compromettre le compte de l'utilisateur.

La plateforme de phishing ONNX Store

Les cybercriminels opèrent par l'intermédiaire de canaux Telegram pour gérer toutes les opérations liées à ONNX Store, y compris pour assurer le support. Il y a également des bots pour répondre à certaines interrogations des affiliés.

Cette plateforme a été conçue pour être robuste et elle s'appuie notamment sur les services de Cloudflare, ce qui permet de bénéficier de plusieurs fonctions dont le proxy IP et le Captcha anti-bot. De plus, pour contourner les systèmes de protection et perturber les scans, du code JavaScript chiffré est utilisé sur la page de phishing.

Comme c'est souvent le cas, les cybercriminels affiliés peuvent personnaliser le template de phishing Microsoft 365 pour qu'il corresponde aux besoins de l'attaque en cours de préparation. Enfin, en fonction des fonctionnalités souhaitées, l'abonnement ONNX Store coûte entre 150 dollars et 400 dollars par mois. L'abonnement le plus coûteux intègre des statistiques sur les liens malveillants, ainsi que le vol de cookies 2FA.

Source : EclecticIQ

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.