Des chercheurs en sécurité ont découvert une nouvelle campagne de phishing utilisant des sites SharePoint compromis et des documents OneNote pour inciter les victimes potentielles du secteur bancaire à consulter leurs pages de destination.
Les cybercriminels à l'origine de la campagne ont choisi la plate-forme collaborative SharePoint basée sur le Web de Microsoft pour lancer leurs attaques, car les domaines qu'elle utilise sont souvent ignorés par les passerelles de messagerie sécurisées, ce qui permet à leurs messages de phishing d'atteindre réellement les boîtes de réception des utilisateurs.
Après avoir compromis un compte SharePoint, les attaquants utilisent ce compte pour envoyer un courrier électronique aux victimes potentielles dans lequel ils leur demandent d'examiner une proposition d'évaluateur légal via une URL intégrée au message. Des chercheurs de Cofense ont découvert cette nouvelle campagne de phishing. Ils ont expliqué pourquoi ses tactiques sont si efficaces dans un blog:
"SharePoint est le mécanisme de livraison initial pour fournir une URL secondaire malveillante, permettant à l'acteur menaçant de contourner à peu près n'importe quelle technologie de périmètre de messagerie."
Sommaire
Cachant à la vue
L'URL dans le message initial envoie les utilisateurs à un site SharePoint contrôlé par un attaquant, où un faux document OneNote fabriqué de manière illisible et illisible demande aux cibles de télécharger la version complète à l'aide d'un lien incorporé. Cependant, ce lien envoie en fait les employés de la banque à la page de phishing de l'attaquant.
Sur la page d'hameçonnage, les cibles voient une page Web empruntant l'identité de la page de connexion officielle de OneDrive Entreprise avec un message au-dessus du formulaire de connexion qui se lit comme suit: «Ce document est sécurisé, connectez-vous pour visualiser, modifier ou télécharger. Sélectionnez une option ci-dessous pour continuer ».
À partir de là, les utilisateurs ont la possibilité de se connecter avec un compte Office 365 ou avec leur compte provenant de tout autre fournisseur de messagerie. Ainsi, si un utilisateur refuse de renoncer à ses informations d'identification Office 365, les attaquants auront toujours accès à un autre de leurs comptes.
Une fois que la victime a saisi ses identifiants de connexion, elle est automatiquement collectée par le kit de phishing de BlackShop Tools utilisé dans la campagne et disponible à la vente sur le Web sombre.
Pour éviter d'être victime d'une attaque d'hameçonnage, il est recommandé d'éviter d'ouvrir les courriers électroniques de contacts inconnus et d'examiner attentivement les URL des sites Web que vous visitez.
Via l'ordinateur de saignement