Deux cyberattaques visent actuellement les détenteurs d’un compte Microsoft 365. Pour dérober les identifiants de leurs victimes, les pirates se servent d’applications OAuth malveillantes qui usurpent l’identité de services en ligne populaires, comme Adobe. Une fois les mots de passe volés, il faut moins d’une minute pour que les hackers se connectent au compte…
Les chercheurs de ProofPoint ont découvert une nouvelle attaque phishing à l’encontre des utilisateurs de Microsoft 365. Pour piéger les usagers, les pirates se servent d’applications OAuth malveillantes qui usurpent l’identité de services connus, comme Adobe Drive, Adobe Drive X, Adobe Acrobat et DocuSign. Pour rappel, Microsoft 365 utilise OAuth comme méthode d’authentification à des services en ligne. Ce protocole d’autorisation permet à des applications d’accéder à des ressources protégées sans avoir à demander le mot de passe de l’utilisateur.
« Les chercheurs de Proofpoint ont récemment découvert trois applications OAuth malveillantes jusqu’alors non divulguées, déguisées en « Adobe Drive », « Adobe Acrobat » et « Docusign », qui sont utilisées pour rediriger les utilisateurs », relate ProofPoint sur X.
A lire aussi : Gmail et Outlook sont dans le viseur des pirates – le ransomware Medusa enchaine les cyberattaques
Une demande d’accès malveillante
Dans un premier temps, les cibles de la cyberattaque vont recevoir une demande d’autorisation en provenance d’une adresse mail légitime, qui est tombée sous le contrôle des pirates. Ces demandes de connexion sont transmises par des adresses liées à des organismes de bienfaisance ou des petites entreprises. En se servant de ces adresses, les hackers parviennent à endormir la méfiance de leurs victimes.
Si celles-ci accèdent à la demande d’autorisation OAuth, qui se fait passer pour Adobe ou DocuSign, les pirates vont mettre la main sur une panoplie de données personnelles. Parmi les données récupérées à ce stade de l’offensive, on trouve le nom complet, l’ID utilisateur, la photo de profil, le nom d’utilisateur, ainsi que l’OpenID, qui permet aux assaillants de récupérer les détails du compte Microsoft. Avec ces informations en mains, les pirates pourraient déjà disparaitre, et revenir à la charge ultérieurement, avec des attaques de phishing personnalisées.
« Moins d’une minute » pour une « connexion suspecte »
Il n’en est rien. Comme l’explique ProofPoint, la demande OAuth malveillante va rediriger l’internaute vers des pages de phishing. Ces pages web reprennent l’interface de Microsoft 365 et réclament les identifiants de l’usager, à savoir le nom d’utilisateur et le mot de passe. Avec ces données sensibles, les pirates peuvent se connecter à votre compte. Parfois, les pages web en profitent pour tenter d’installer un virus sur l’ordinateur de leurs victimes.
« Après avoir autorisé l’application O365 OAuth, les victimes ont été redirigées à plusieurs reprises et ont franchi plusieurs étapes avant d’être exposées soit au logiciel malveillant, soit à la page de phishing dissimulée en arrière-plan. Dans certains cas, elles ont été dirigées vers une page de connexion Microsoft 365 hébergée sur un domaine malveillant. Moins d’une minute après l’autorisation, Proofpoint a détecté une activité de connexion suspecte sur le compte », explique ProofPoint à nos confrères de Bleeping Computer.
Une tactique pirate très répandue
Les cybercriminels exploitent une stratégie bien connue des pirates, ClickFix. Cette tactique consiste à manipuler les utilisateurs pour qu’ils exécutent eux-mêmes des commandes malveillantes, contournant ainsi les protections de sécurité. En l’occurrence, les pirates affichent une fenêtre exigeant que l’internaute prouve qu’il est humain. C’est une astuce massivement exploitée par les cybercriminels depuis l’année dernière. Elle a notamment été utilisée dans le cadre d’une cyberattaque qui repose sur de fausses invitations Google Meet.
Soyez vigilant lorsque vous recevez des demandes d’autorisation pour des applications utilisant OAuth, surtout s’il n’y aucune raison que vous en receviez une à ce moment-là. Avant d’accorder l’accès et de communiquer des données, vérifiez toujours la source et la légitimité de l’application. Par ailleurs, on vous conseille de garder un œil régulièrement sur les autorisations déjà accordées. En restant vigilant, vous pourrez éviter que des criminels gardent un accès à votre compte. Pour ça, connectez-vous au portail Mes applications sur le site de Microsoft. Rendez-vous ensuite dans Gérer vos applications, puis révoquez toutes les applications que vous ne reconnaissez pas ou qui semblent un peu suspectes. Les administrateurs sont par ailleurs invités à bloquer les applications OAuth tierces non validées.
A lire aussi : Nouvelle faille de Windows – des millions de PC « risquent d’être compromis »
Deux attaques en cours
« Deux campagnes en cours, très ciblées » visent actuellement les entreprises de plusieurs industries américaines et européennes, dont des entités gouvernementales, indique ProofPoint. Les pirates se servent « d’appels d’offres et de leurres contractuels » pour inciter leurs interlocuteurs à ouvrir les demandes d’accès.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Bleeping Computer