La campagne se fait passer pour un logiciel de service d’assistance pour tenter de voler les références de l’entreprise dans le nuage.
Une nouvelle campagne de phishing qui se fait passer pour un logiciel d’assistance pour essayer de voler les identifiants de connexion des services de cloud computing des entreprises, notamment Microsoft Azure, Microsoft Dynamics et IBM Cloud, a été observée dans la nature.
Comme le rapporte BleepingComputer, le journal a récemment analysé les messages de phishing de la campagne pour découvrir qu’ils utilisent des termes similaires à ceux de véritables services d’assistance informatique tout en prétendant provenir d’un site appelé « servicedesk.com ».
Les messages électroniques utilisés dans la campagne imitent une notification de « courrier en quarantaine », qui est envoyée par les produits de sécurité et les filtres anti-spam, et demande au destinataire de « libérer » les messages bloqués dans la file d’attente. Alors que l’adresse indiquée dans le courriel fait croire que le message provient de « [email protected] », les attaquants ont en fait envoyé leurs messages de phishing par l’intermédiaire de « cn.trackhawk.pro » qui a servi de domaine intermédiaire.
Afin de contourner plus facilement les filtres de courrier électronique, le domaine du service d’assistance est utilisé à la fois dans l’en-tête « from » et « received » des courriers électroniques de phishing de la campagne. Cela signifie que les attaquants ont soit compromis les serveurs de courrier électronique de servicedesk.com, soit injecté le texte « Received : form servicedesk.com » dans l’en-tête pour paraître plus crédible.
Services d’entreprise dans les nuages
Les cybercriminels à l’origine de cette nouvelle campagne de phishing ont utilisé IBM Cloud Hosting, Microsoft Azure et Microsoft Dynamics pour héberger leurs pages de renvoi afin de les rendre plus légitimes. En outre, les domaines hébergés sur Azure ou IBM Cloud obtiennent gratuitement des certificats SSL contenant le nom de ces sociétés, ce qui contribue également à améliorer la légitimité de la campagne.
Après avoir ouvert l’un de ces e-mails de phishing, l’utilisateur verra deux boutons intitulés « RELEASE MESSAGES » et « CLEAN-UP CLOUD ». Lorsqu’un utilisateur clique sur l’un de ces boutons, il est amené à une URL Microsoft Dynamics 365 légitime. Cette URL les redirige ensuite vers un domaine IBM Cloud qui est utilisé pour héberger la page de destination du phishing.
Si un utilisateur saisit un mot de passe faible, la page d’accueil lui donnera une erreur « mauvais mot de passe ! Cependant, la saisie d’un mot de passe long et complexe redirige l’utilisateur vers une autre fausse page confirmant la mise à jour des paramètres de l’hôte sur le domaine d’hébergement d’Azure, windows.net. Cette page malveillante redirige ensuite l’utilisateur vers un site web appelé « axsharma.com ».
Cette nouvelle campagne de phishing est particulièrement dangereuse, car une fois qu’un utilisateur a renoncé à ses identifiants dans le nuage, un attaquant peut accéder au réseau d’entreprise de son organisation.