Une nouvelle cyberattaque cible les utilisateurs de Microsoft 365 via des messages Signal et WhatsApp, avec des pirates qui se font l’identité de responsables gouvernementaux afin d’accéder aux comptes.
Selon les rapports de Bleeping Computer, de mauvais acteurs – qui seraient des Russes qui prétendent être des responsables politiques ou des diplomates européens – contactent les employés d’organisations travaillant sur des questions liées à l’Ukraine et aux droits de l’homme. L’objectif final est de inciter les cibles à cliquer sur un lien de phishing OAuth les conduisant à authentifier leurs informations d’identification Microsoft 365.
Cette arnaque, découverte pour la première fois par la volexité de la société de cybersécurité, s’est concentrée spécifiquement sur les organisations liées à l’Ukraine, mais une approche similaire pourrait être utilisée plus largement pour voler des données utilisateur ou prendre le contrôle des appareils.
Comment fonctionne l’attaque Microsoft 365 OAuth
Cette attaque commence généralement par des cibles recevant un message via Signal ou WhatsApp d’un utilisateur se faisant passer pour un fonctionnaire politique ou un diplomate avec une invitation à un appel vidéo ou à une conférence pour discuter des questions liées à l’Ukraine.
Selon la volexité, les attaquants peuvent prétendre provenir de la mission d’Ukraine à l’Union européenne, de la délégation permanente de la République de Bulgarie à l’OTAN, ou de la représentation permanente de la Roumanie à l’Union européenne. Dans une variation, la campagne commence par un e-mail envoyé à partir d’un compte gouvernemental ukrainien piraté suivi d’une communication via Signal et WhatsApp.
Une fois qu’un fil est établi, les mauvais acteurs envoient des instructions PDF victimes avec une URL de phishing OAuth. Lorsque vous cliquez sur, l’utilisateur est invité à se connecter à Microsoft et aux applications tierces qui utilisent Microsoft 365 OAuth et redirigé vers une page de destination avec un code d’authentification, qu’il est dit de partager afin d’entrer dans la réunion. Ce code, qui est valable pendant 60 jours, donne aux attaquants accès aux e-mails et autres ressources Microsoft 365, même si les victimes modifient leurs mots de passe.
Que pensez-vous jusqu’à présent?
Comment repérer l’attaque Microsoft 365 OAuth
Cette attaque est l’une des nombreuses menaces récentes abusant de l’authentification OAuth, ce qui peut rendre plus difficile l’identification comme suspecte, du moins d’un point de vue technique. Volexity recommande de configurer les politiques d’accès conditionnel sur les comptes Microsoft 365 aux appareils approuvés uniquement, ainsi que l’activation des alertes de connexion.
Les utilisateurs devraient également se méfier des tactiques d’ingénierie sociale qui jouent sur la psychologie humaine pour réaliser avec succès le phishing et d’autres types de cyberattaques. Les exemples incluent des messages inhabituels ou hors de caractère, en particulier pour un expéditeur que vous connaissez ou en qui vous avez confiance – la communication qui provoque une réponse émotionnelle (comme la peur ou la curiosité), et des demandes urgentes ou des offres trop belles pour être vraies.
Un explicateur d’ingénierie sociale de CSO conseille un « état d’esprit zéro-frust » ainsi que de surveiller des signes communs comme la grammaire et les erreurs d’orthographe et les instructions pour cliquer sur les liens ou ouvrir les pièces jointes. Les captures d’écran du signal et des messages WhatsApp partagées par volexité montrent de petites erreurs qui les donnent comme potentiellement frauduleux.
