[Etats-Unis] Saisie de six domaines par Microsoft utilisant le COVID-19 pour des opérations d’hameçonnage

Microsoft a récemment obtenu judiciairement la saisie de six domaines impliqués dans des opérations d’hameçonnage contre des utilisateurs d’Office 365 et utilisant le COVID-19 en tant qu’appât. Le groupe d’attaquants derrière ces opérations était actif depuis décembre 2019.

Les mails utilisés pour tromper les utilisateurs faisaient croire qu’ils venaient de collègues ou de partenaires de confiance. A l’intérieur du mail était inséré un document Excel qui encourageait l’utilisateur à installer une fausse application nommée O365 Access créée par les attaquants. Si celle-ci était installée par la victime, les attaquants avaient alors un accès complet à son compte Office 365, incluant ses paramètres, ses fichiers, le contenu de ses mails et ses listes de contacts, sans avoir besoin de connaître le mot de passe associé grâce aux permissions accordées par l’utilisateur. 

Le succès de ces campagnes d’hameçonnage est dû à plusieurs raisons, le premier étant que la fausse application Office 365 ressemblait grandement à celle développée par Microsoft. La deuxième raison est que l’installation d’applications tierces est quelque chose d’habituel pour les utilisateurs d’Office 365, ce qui a donc pu réduire le niveau de méfiance envers la fausse application. Enfin, la dernière raison est l’utilisation par les attaquants d’une redirection vers le site officiel de Microsoft lors de l’installation de l’application, renforçant l’impression de légitimité.

Microsoft a engagé des poursuites le 30 juin 2020 et a donc obtenu la saisie de six domaines. Selon Microsoft, deux personnes seraient derrière ces attaques par hameçonnage. Au départ les mails utilisaient des thèmes liés à l’activité des entreprises attaquées mais rapidement ceux-ci ont été changés afin d’utiliser le COVID-19 en tant qu’appât. 

Pour plus d’informations, plusieurs liens vers des articles sont disponibles dans la section Références (en anglais).