Un complexe et plutôt inhabituel campagne de phishing usurpe les notifications eFax et utilise un compte professionnel Dynamics 365 Customer Voice compromis pour inciter les victimes à donner leurs informations d'identification via les pages microsoft.com.
Les acteurs de la menace ont frappé des dizaines d'entreprises à travers la campagne largement diffusée, qui est ciblant Microsoft 365 utilisateurs d'un large éventail de secteurs - y compris l'énergie, les services financiers, l'immobilier commercial, l'alimentation, la fabrication et même la fabrication de meubles, ont révélé des chercheurs du Cofense Phishing Defense Center (PDC) dans un article de blog publié mercredi.
La campagne utilise une combinaison de tactiques courantes et inhabituelles pour inciter les utilisateurs à cliquer sur une page qui semble les conduire à une enquête de satisfaction client pour un service eFax, mais vole à la place leurs informations d'identification.
Les attaquants se font passer pour eFax mais aussi Microsoft en utilisant du contenu hébergé sur plusieurs pages microsoft.com à plusieurs étapes de l'effort en plusieurs étapes. L'escroquerie est l'une des nombreuses campagnes de phishing que Cofense a observées depuis le printemps et qui utilisent une tactique similaire, explique Joseph Gallop, responsable de l'analyse du renseignement chez Cofense.
"En avril de cette année, nous avons commencé à voir un volume important d'e-mails de phishing utilisant des liens d'enquête intégrés ncv[.]microsoft[.]com du type utilisé dans cette campagne", a-t-il déclaré à Dark Reading.
Combinaison de tactiques
Les e-mails de phishing utilisent un leurre conventionnel, prétendant que le destinataire a reçu un eFax d'entreprise de 10 pages qui requiert son attention. Mais les choses s'écartent des sentiers battus après cela, a expliqué Nathaniel Sagibanda de Cofense PDC dans le Message du mercredi.
Le destinataire ouvrira très probablement le message en s'attendant à ce qu'il soit lié à un document nécessitant une signature. "Cependant, ce n'est pas ce que nous voyons lorsque vous lisez le corps du message", a-t-il écrit.
Au lieu de cela, l'e-mail inclut ce qui semble être un fichier PDF attaché et sans nom qui a été envoyé à partir d'un fax qui inclut un fichier réel - une caractéristique inhabituelle d'un e-mail de phishing, selon Gallop.
"Alors que de nombreuses campagnes de phishing d'informations d'identification utilisent des liens vers des fichiers hébergés et que certaines utilisent des pièces jointes, il est moins courant de voir un lien intégré se faisant passer pour une pièce jointe", a-t-il écrit.
L'intrigue s'épaissit encore plus bas dans le message, qui contient un pied de page indiquant qu'il s'agissait d'un site d'enquête - comme ceux utilisés pour fournir des commentaires aux clients - qui a généré le message, selon le message.
Imitation d'une enquête client
Lorsque les utilisateurs cliquent sur le lien, ils sont dirigés vers une imitation convaincante d'une page de solution eFax rendue par une page Microsoft Dynamics 365 qui a été compromise par des attaquants, ont déclaré des chercheurs.
Cette page comprend un lien vers une autre page, qui semble mener à une enquête Microsoft Customer Voice pour fournir des commentaires sur le service eFax, mais dirige à la place les victimes vers une page de connexion Microsoft qui exfiltre leurs informations d'identification.
Pour renforcer encore la légitimité de cette page, l'auteur de la menace est allé jusqu'à intégrer une vidéo des solutions eFax pour les détails de service usurpés, demandant à l'utilisateur de contacter "@eFaxdynamic365" pour toute demande de renseignements, ont déclaré les chercheurs.
Le bouton "Soumettre" en bas de la page sert également de confirmation supplémentaire que l'acteur de la menace a utilisé un véritable modèle de formulaire de commentaires Microsoft Customer Voice dans l'escroquerie, ont-ils ajouté.
Les attaquants ont ensuite modifié le modèle avec "de fausses informations eFax pour inciter le destinataire à cliquer sur le lien", ce qui conduit à une fausse page de connexion Microsoft qui envoie ses informations d'identification à une URL externe hébergée par des attaquants, a écrit Sagibanda.
Tromper un œil averti
Alors que les campagnes originales étaient beaucoup plus simples - ne comprenant que des informations minimales hébergées sur l'enquête Microsoft - la campagne d'usurpation d'eFax va plus loin pour renforcer la légitimité de la campagne, dit Gallop.
Sa combinaison de tactiques en plusieurs étapes et d'une double usurpation d'identité peut permettre aux messages de passer par des passerelles de messagerie sécurisées et de tromper même les utilisateurs les plus avertis en entreprise qui ont été formés pour détecter les escroqueries par hameçonnage, note-t-il.
"Seuls les utilisateurs qui continuent à vérifier la barre d'URL à chaque étape tout au long du processus seraient certains d'identifier cela comme une tentative de phishing", déclare Gallop.
En effet, une enquête du cabinet de cybersécurité Vade également publié mercredi a révélé que usurpation d'identité de marque continue d'être le meilleur outil utilisé par les hameçonneurs pour inciter les victimes à cliquer sur des e-mails malveillants.
En fait, les attaquants ont le plus souvent pris la personnalité de Microsoft dans les campagnes observées au premier semestre 2022, ont découvert les chercheurs, bien que Facebook reste la marque la plus usurpée dans les campagnes de phishing observées jusqu'à présent cette année.
Le jeu de phishing reste fort
Les chercheurs à l'heure actuelle n'ont pas identifié qui pourrait être derrière l'escroquerie, ni les motifs spécifiques des attaquants pour voler les informations d'identification, dit Gallop.
Dans l'ensemble, le phishing reste l'un des moyens les plus simples et les plus utilisés par les acteurs de la menace pour compromettre les victimes, non seulement pour voler les informations d'identification, mais également pour diffuser des logiciels malveillants, car les logiciels malveillants transmis par e-mail sont beaucoup plus faciles à distribuer que les attaques à distance, selon le rapport Vade. .
En effet, ce type d'attaque a connu des augmentations d'un mois à l'autre au cours du deuxième trimestre de l'année, puis une autre augmentation en juin qui a repoussé "les e-mails à des volumes alarmants jamais vus depuis janvier 2022", lorsque Vade a vu plus de 100 millions d'e-mails de phishing en cours de distribution.
"La relative facilité avec laquelle les pirates peuvent lancer des cyberattaques punitives par e-mail fait de l'e-mail l'un des principaux vecteurs d'attaque et une menace constante pour les entreprises et les utilisateurs finaux", a écrit Natalie Petitto de Vade dans le rapport. "Les e-mails d'hameçonnage se font passer pour les marques auxquelles vous faites le plus confiance, offrant un large réseau de victimes potentielles et un manteau de légitimité pour les hameçonneurs se faisant passer pour des marques."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
