Microsoft entreprend des actions légales contre le groupe Thallium

Ces noms de domaines avaient recours à des substitutions de caractères pour ressembler à des domaines légitimes de Microsoft. Un des domaines utilisés dans le cadre d’attaques de Spear Phishing (phishing ciblé) remplaçait par exemple le m de Microsoft par rn, donnant ainsi rnicrosoft.com.

D’après Microsoft, Thallium opère de la façon suivante :

• une phase de renseignement permet d’obtenir des informations sur les cibles potentielles;
• des emails de spear phishing sont envoyés avec un lien vers une page récoltant les identifiants des cibles;
• une règle de transfert d’emails est ajoutée pour que le groupe continue d’avoir accès aux emails de la cible même après un changement de mot de passe;
• bien que Microsoft n’ait pas communiqué davantage sur le vecteur d’infection, le groupe déploie parfois des malwares nommés BabyShark et KimJongRAT sur les postes des cibles.

L’action en justice entreprise par Microsoft a permis à la société de prendre le contrôle des domaines utilisés par Thallium et d’endiguer leur campagne. Il s’agirait de la quatrième action de ce type, Microsoft ayant par le passé récupéré des centaines de domaines utilisés par les groupes Barium (Chine), Strontium (Russie) et Phosphorus (Iran).

Selon Microsoft, il est important que les acteurs de la cybersécurité soient transparents pour permettre un effort commun de sécurisation d’Internet.