Les escrocs tentent de voler les identifiants de connexion Microsoft 365 des personnes travaillant dans l'armée américaine, les logiciels de sécurité, la chaîne d'approvisionnement de fabrication, les sociétés de soins de santé et pharmaceutiques, avec une campagne de phishing élaborée qui utilise de faux messages vocaux et de fausses pages de connexion Microsoft.
Les employés de ces entreprises ont reçu de fausses notifications par e-mail affirmant que quelqu'un de leur organisation leur avait envoyé un message vocal.
L'e-mail lui-même semble provenir de l'entreprise, mais la société de sécurité cloud ZScaler a découvert que le véritable expéditeur abuse en fait d'un service de messagerie japonais pour cacher son adresse et sa véritable identité (ouvre dans un nouvel onglet).
Si la victime mordait à l'hameçon et cliquait sur la pièce jointe HTML de l'email, elle serait d'abord redirigée vers une vérification CAPTCHA, dont le but est double : échapper aux outils anti-phishing et convaincre la victime de sa légitimité.
vol d'identifiants
Une fois que la victime a passé le captcha, elle est redirigée (s'ouvre dans un nouvel onglet) vers le site de phishing réel, une page de destination qui semble identique à la page de connexion Microsoft 365. C'est là que, si les victimes saisissent leurs informations d'identification, il sera partagez-les avec les attaquants.
Les fraudeurs sont très demandés pour les comptes Microsoft 365, car ils offrent un trésor d'informations précieuses qui peuvent conduire à des attaques dévastatrices de deuxième étape. Les criminels peuvent l'utiliser pour déployer des logiciels malveillants (s'ouvre dans un nouvel onglet) et des rançongiciels, installer des cryptomineurs sur des serveurs puissants et même lancer des attaques hautement destructrices sur la chaîne d'approvisionnement.
L'attaque de la chaîne d'approvisionnement de Solar Winds, qui visait des agences gouvernementales, des institutions et plusieurs grandes entreprises technologiques américaines, a commencé avec un compte Microsoft 365 compromis.
En décembre 2020, un effort massif de cyberespionnage a été découvert qui a contaminé la chaîne d'approvisionnement des logiciels via une fausse mise à jour du logiciel SolarWinds. Épinglée sur des pirates informatiques russes parrainés par l'État, l'attaque a touché neuf agences fédérales, en plus de nombreuses entreprises du secteur privé.
Il y a eu plusieurs audiences du Congrès sur le piratage de SolarWinds, et l'incident a également entraîné des sanctions contre plusieurs sociétés russes de cybersécurité. Cependant, personne n'a été en mesure de déterminer la véritable portée de l'attaque, en partie parce qu'il a été assez difficile de retracer les traces des attaquants.
Via : BleepingComputer (Ouvre dans un nouvel onglet)