Nous avons été amené dernièrement à collaborer avec Breizh Cyber (le centre de réponse aux incidents Cyber de la Région Bretagne) suite à l’identification et au blocage par notre équipe d’une campagne d’hameçonnage touchant plusieurs collectivité.
Nos investigations ont notamment permis d’identifier et de stopper pour chaque cible identifiée le mode opératoire de cette campagne qui se traduit principalement par l’envoi de mail frauduleux suite à la compromission de comptes Microsoft 365 dépourvus de 2FA.
Les caractéristiques principales de l’attaque se traduisent par :
- l’installation de l’application “PERFECTDATA SOFTWARE” sur les tenant Microsoft de la cible permettant ainsi d’aspirer le contenu des messageries (notamment la liste des contacts)
- la mise en place d’un fichier PDF sur l’espace de stockage OneDrive de la cible qui lui même redirigeait vers un site frauduleux
- la mise en place d’une règle détruisant systématiquement tous les nouveaux emails adressés à la cible (afin de masquer l’hameçonnage)
- l’envoi en masse d’emails depuis le compte de la cible vers de nouvelles cibles invitant à consulter le fichier PDF
- le site frauduleux qui se présentait comme une copie d’une page d’authentification Microsoft demandant à l’utilisateur de “s’identifier”. Or le site en question ne vise qu’à récupérer les identifiants de connexion des nouvelles cible.
Une fois ces informations récupérées par l’attaquant la boucle est bouclée : il peut répéter le processus avec les contacts de la nouvelle cible.
Dans pareils cas, la diversification des mots de passe et l’activation de l’authentification multifactorielle aurait permis d’éviter l’usurpation des identifiants. Pensez à activer cette dernière en vous renseignant auprès de vos services informatiques.
Retrouvez l’article publié sur le site de Breizh Cyber ici : https://breizhcyber.bzh/actualites/campagne-dhameconnage-onedrive-en-cours/