Microsoft a saisi les domaines utilisés pour arnaquer les utilisateurs d’Office 365

0

La Digital Crimes Unit (DCU) de Microsoft a saisi 17 domaines malveillants utilisés par des escrocs dans une campagne de compromission des e-mails professionnels ciblant les clients de l’entreprise.

Les domaines saisis par Microsoft étaient des domaines dits « homoglyphes » enregistrés pour ressembler à ceux d’une entreprise légitime. Cette technique a permis aux pirates informatiques d’usurper l’identité des entreprises lors de la communication avec leurs clients.

Selon la plainte déposée par Microsoft la semaine dernière (plus de détails disponibles dans l’ordonnance du tribunal), ils ont utilisé les domaines enregistrés via NameSilo LLC et KS Domains Ltd./Key-Systems GmbH comme infrastructure malveillante dans les attaques contre les clients et services d’Office 365.

« Les accusés utilisent des domaines homoglyphes malveillants ainsi que des informations d’identification client volées pour accéder illégalement aux comptes clients, surveiller le trafic de messagerie des clients, recueillir des informations sur les transactions financières en attente et usurper l’identité criminelle des clients O365, le tout dans le but de tromper leurs victimes en leur faisant transférer des fonds aux cybercriminels, « , a déclaré Microsoft.

« Le soulagement cherché dans cette action est nécessaire pour arrêter les cybercriminels et empêcher des dommages irréparables et continus à Microsoft et à ses clients. »

Malicious domains taken down by Microsoft
Domaines homoglyphes malveillants supprimés par Microsoft

Des escrocs d’Afrique de l’Ouest

Les criminels derrière cette campagne font « partie d’un vaste réseau qui semble être basé en Afrique de l’Ouest » selon Microsoft et ont principalement ciblé les petites entreprises nord-américaines opérant dans plusieurs secteurs industriels.

« Le groupe a procédé à la collecte de renseignements pour usurper l’identité de ces clients dans le but d’inciter les victimes à transférer des fonds aux cybercriminels », a déclaré Hogan-Burney.

« Une fois que les criminels ont eu accès à un réseau, ils ont imité les employés et ciblé leurs réseaux, fournisseurs, sous-traitants et agents de confiance dans le but de les inciter à envoyer ou à approuver des paiements financiers frauduleux. »

Ces tactiques correspondent parfaitement aux méthodes utilisées dans les escroqueries où les attaquants emploient diverses tactiques (y compris l’ingénierie sociale, le phishing et le piratage) pour compromettre les comptes de messagerie professionnels, utilisés plus tard pour rediriger les paiements vers des comptes bancaires sous leur contrôle ou pour cibler les employés dans le cadre d’arnaques aux cartes-cadeaux.

Sample BEC email
Exemple d’e-mail envoyé par les escrocs (Microsoft)

Ce n’est pas la première fois que Microsoft est confronté à de tels incidents. Par exemple, le mois dernier, les chercheurs de Microsoft 365 Defender ont perturbé l’infrastructure cloud utilisée par une autre campagne à grande échelle.

Lors des attaques de Juin, les escrocs ont utilisé des protocoles hérités comme IMAP/POP3 pour exfiltrer des e-mails et contourner l’authentification MFA sur les comptes Exchange Online lorsque les cibles n’ont pas désactivé l’authentification héritée.

Un mois plus tôt, Microsoft avait détecté un autre gang ciblant plus de 120 organisations utilisant des domaines typo-squattés enregistrés quelques jours seulement avant le début des attaques.

« Nous continuons de voir cette technique utilisée dans la compromission des e-mails professionnels, l’activité des États-nations, la distribution de logiciels malveillants et de ransomwares, souvent combinée avec le phishing des informations d’identification et la compromission des comptes pour tromper les victimes et infiltrer les réseaux clients », a conclu Hogan-Burney.

« Cet effort de perturbation fait suite à 23 actions en justice antérieures contre des logiciels malveillants et des groupes d’États-nations que nous avons engagées en collaboration avec les forces de l’ordre et d’autres partenaires depuis 2010. »

La compromission d’e-mails professionnels derrière 1,8 milliard de dollars de pertes l’an dernier

Bien que dans certains cas, les méthodes des escrocs puissent sembler manquer de sophistication et que leurs e-mails de phishing puissent sembler clairement malveillants pour certains, les attaques de compromissions d’e-mails professionnels sont à l’origine de pertes financières record depuis 2018.

Le rapport de l’année 2020 du FBI sur la cybercriminalité a répertorié un nombre record de plus de 1,8 milliard de dollars de pertes signalées l’année dernière.

En Mars, le FBI a également mis en garde contre les attaques de compromission d’e-mails professionnels ciblant de plus en plus les entités gouvernementales américaines, locales, tribales et territoriales (SLTT).

Dans d’autres alertes envoyées l’année dernière, le FBI a mis en garde contre les escrocs qui abusent des services de transfert automatique des e-mails et de messagerie sur le cloud (y compris Microsoft Office 365 et Google G Suite) dans leurs attaques.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire