Microsoft a pris le contrôle de six portails Web de hameçonneurs « Coronavirus »

Microsoft a pris le contrôle de six portails Web des soi-disant escrocs du «Coronavirus» par le biais de la Cour. Ces domaines ont été impliqués dans plusieurs opérations de phishing ciblant les utilisateurs d’Office 365. Les pirates informatiques sont actifs depuis décembre 2019 et ont récemment manipulé activement les sujets de la pandémie et du COVID-19.

N’oubliez pas que les cyber-escrocs attaquent même les créateurs du vaccin COVID-19 pendant une pandémie. Les entreprises ont reçu des e-mails de hameçonneurs qui détenaient des serveurs de messagerie et une infrastructure d’entreprise dans le cloud Microsoft Office 365. Le contenu des e-mails a été écrit comme s’il avait été écrit par un assistant ou un partenaire commercial de confiance de la victime.

Il est à noter que cette campagne était très rare, car les attaquants n’ont pas redirigé les utilisateurs vers des sites frauduleux qui impressionnaient la page de connexion dans Office 365. Au lieu de cela, les criminels ont utilisé un document Office. Lorsque les utilisateurs ont essayé d’ouvrir ce fichier, une redirection a été exécutée pour installer une application tierce malveillante Office 365, créée par des pirates informatiques.

Si des escrocs ont attrapé le destinataire et qu’il a installé l’application, les attaquants ont eu un accès complet à son compte Office 365, aux paramètres, aux fichiers, au contenu des e-mails, aux listes de contacts, aux notes, etc.

« Grâce à cette application, les pirates ont eu un accès complet aux comptes d’utilisateurs, même sans vol de mot de passe, car à la place, les attaquants avaient le jeton OAuth2 », – rapporte Microsoft.

De plus, l’environnement Office 365 est modulaire et les gens ont l’habitude d’installer régulièrement des applications. De plus, un lien pour installer une application dangereuse a d’abord conduit les utilisateurs vers la page de connexion officielle de Microsoft. Ce n’est qu’après une authentification réussie que les attaquants ont fait un tour et redirigé les victimes vers le téléchargement d’une application vicieuse, donnant l’impression que les victimes utilisaient un logiciel authentique, vérifié par Microsoft.

« Pire, des logiciels malveillants tiers pourraient être utilisés pour analyser l’infrastructure interne des victimes, puis les attaquants ont utilisé les informations ainsi collectées pour des attaques BEC », – a déclaré Tom Burt, vice-président de Microsoft Corporation.

Généralement, BEC (Bussiness Email Compromise) signifie que le compte de messagerie valide d’un des employés de l’entreprise a été compromis. Après cela, les pirates utilisent ce compte pour envoyer de fausses lettres aux employés de la même entreprise ou de ses partenaires, et utilisent l’ingénierie sociale pour les persuader de transférer des fonds vers de faux comptes, se cachant derrière de fausses factures et des transactions fausses.