Découverte d’une campagne de phishing ciblant des comptes d’administration Office 365

Découverte d’une campagne de phishing ciblant des comptes d’administration Office 365

Des chercheurs de la société Phishlabs ont découvert une campagne visant à dérober des données de connexion à des comptes d’administration Office 365.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez le gratuitement et sans engagement sur leportail.xmco.fr.

Afin de tromper les utilisateurs, les attaquants envoient un email malveillant en se faisant passer pour Microsoft.
L’email contient un lien pointant vers une page imitant le portail de connexion à un compte Office 365. Les données de connexion entrées dans ce faux formulaire sont ensuite récupérées par les attaquants.

Les chercheurs ont constaté que les comptes compromis lors de cette campagne étaient utilisés pour créer de nouveaux comptes Office 365, depuis lesquels les attaquants envoyaient d’autres emails de phishing.
La création d’un nouveau compte permet d’éviter la détection d’activité frauduleuse sur le compte d’administration compromis.

En abusant de la bonne réputation du domaine auquel appartient le compte compromis, les attaquants optimisent leurs chances de voir leurs emails illégitimes contourner les filtres antispam.

Les chercheurs rappellent que la compromission d’un compte administrateur Office 365 pourrait permettre aux attaquants d’accéder aux emails de tous les membres de l’organisation.
De plus, il serait courant que le compte administrateur Office 365 dispose de droits importants sur les systèmes d’une organisation. La compromission d’un tel compte pourrait donc permettre aux attaquants d’accéder à ces systèmes.

Nous vous rappelons que XMCO propose un service de sensibilisation au phishing, nommé PhisherMan, pouvant être complètement personnalisé, afin de sensibiliser vos collaborateurs. Vous pouvez retrouver plus d’informations sur notre site Internet.


Références

Active Office 365 Credential Theft Phishing Campaign Targeting Admin Credentials

Référence XMCO

CXN-2019-5284


Arthur Gautier