Phishing : une nouvelle campagne avec de faux messages vocaux cible les comptes Microsoft 365

Actuellement, les États-Unis sont ciblés par une nouvelle campagne de phishing dont l'objectif est de dérober les identifiants de connexion à Microsoft 365 et Outlook.com. Cette campagne cible les organisations dans différents secteurs, notamment l'armée, la santé, l'industrie pharmaceutique et les éditeurs de logiciels de sécurité.

Pour tenter de piéger les utilisateurs, les cybercriminels à l'origine de cette campagne malveillante cherchent à diffuser une pièce jointe HTML malveillante, qui prend la forme d'une fausse notification de messagerie vocale. D'après les chercheurs en sécurité de chez ZScaler, cette campagne a plusieurs points communs avec une campagne analysée précédemment, à la mi-juin 2020.

L'utilisateur reçoit un e-mail avec le titre "Vous avez un nouveau message vocal" dans sa boîte mail, et il est invité à lire le message vocal qui est en pièce jointe, sauf qu'il s'agit d'un piège bien entendu. En effet, la pièce jointe malveillante, bien qu'elle ait un nom plutôt rassurant, contient un code JavaScript obscurci qui conduit la victime vers un site de phishing.

Pour tenter de tromper la victime, l'adresse URL contient le nom de l'entreprise ciblée dans le nom, en tant que sous-domaine de celui utilisé par les pirates informatiques. Pour éviter les détections avec les services anti-phishing, l'utilisateur doit compléter un CAPTCHA avant de pouvoir accéder à l'étape suivante, ce qui est une manière aussi de lui montrer que c'est un site protégé. Au final, il arrive sur une fausse page de connexion à son compte Microsoft dans le but de lui dérober ses identifiants de connexion.

Les personnes éduquées sur le sujet remarqueront rapidement que le domaine n'est pas celui de Microsoft et qu'il s'agit d'un piège. Visiblement, les cybercriminels utilisent les domaines suivants dans le cadre de cette attaque :

  • briccorp[.]com
  • bajafulfillrnent[.]com
  • bpirninerals[.]com
  • lovitafood-tw[.]com
  • dorrngroup[.]com
  • lacotechs[.]com
  • brenthavenhg[.]com
  • spasfetech[.]com
  • mordematx[.]com
  • antarnex[.]com

Enfin, pour acheminer les messages vocaux, les cybercriminels s'appuient sur des services de messagerie électronique basés Japon et ils en profitent pour usurper l'adresse de l'expéditeur, en reprenant une adresse e-mail correspondante à l'organisation ciblée, toujours dans l'objectif de rassurer la victime en quelque sorte. Le prétexte du message vocal est fréquemment utilisé, depuis plusieurs années et c'est une méthode qui continue de faire ses preuves.

Si vous souhaitez entraîner vos utilisateurs à la détection d'e-mails de phishing, vous pouvez tester Gophish (voir mon article à ce sujet).

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4067 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.