Une nouvelle campagne de phishing a été identifiée. Elle utilise le service de partage de fichiers Microsoft Sway dans le cadre d’une attaque en trois étapes visant à obtenir les informations d’identification Office 365 des cadres supérieurs.
Les chercheurs du groupe IB ont identifié la campagne et l’ont baptisée PerSwaysion, bien que des versions de l’attaque utilisant OneNote et SharePoint aient été identifiées. La campagne est très ciblée et a été menée contre les cadres de haut niveau dans plus de 150 entreprises.
On pense que les individus à l’origine de la campagne opèrent depuis le Nigeria et l’Afrique du Sud. Les premières traces de ce type d’attaque indiquent que la campagne aurait été menée depuis le milieu de l’année dernière.
Comment fonctionne l’attaque de phishing PerSwaysion ?
L’attaque PerSwaysion commence par un e-mail de spear phishing envoyé à un cadre de l’organisation visée.
Les messages comportent une pièce jointe au format PDF sans code malveillant. Le fichier PDF comprend simplement un lien sur lequel l’utilisateur doit cliquer pour en visualiser le contenu. Le lien dirige l’utilisateur vers un fichier sur une page Microsoft Sway, ce qui l’oblige également à cliquer sur un lien pour en voir le contenu.
Microsoft Sway permet de prévisualiser le document et d’en afficher le contenu sans que l’utilisateur n’ait à ouvrir le document. Le document indique le nom de l’expéditeur — un contact connu — et l’adresse électronique de cette personne.
Le message indique également à son destinataire qu’un fichier a été partagé pour examen et intègre un lien hypertexte avec le texte « Lire maintenant ».
En cliquant sur le lien, l’utilisateur est dirigé vers une page de phishing avec une invite de connexion single sign-on (SSO) d’Office 365.
Le fichier PDF initial, la page Microsoft Sway et l’invite de connexion sur la page de phishing comportent tous les logos de Microsoft Office 365, ce qui explique pourquoi de nombreuses victimes ont été amenées à divulguer leurs informations d’identification.
Une fois les informations d’identification obtenues, elles sont utilisées le jour même pour accéder au compte Office 365, les données de messagerie sont copiées à partir du compte, et elles sont ensuite utilisées pour envoyer d’autres e-mails de phishing à des personnes figurant sur la liste de contacts de la victime. Les messages envoyés sont ensuite supprimés du dossier d’envoi de la victime afin de s’assurer que l’attaque n’est pas détectée par la victime.
Les courriels comportent le nom de l’expéditeur dans leur objet, et comme ils proviennent du compte d’un contact connu, ils sont plus susceptibles d’être ouverts. L’appât utilisé est simple, mais efficace, demandant au destinataire d’ouvrir et de consulter le document partagé.
De nombreuses attaques ont été menées contre des particuliers dans des entreprises du secteur des services financiers, mais des cabinets d’avocats et des sociétés immobilières ont également été ciblés. La majorité des escroqueries ont été menées aux États-Unis et au Canada, au Royaume-Uni, aux Pays-Bas, en Allemagne, à Singapour et à Hong Kong.
Il est possible que les attaquants continuent d’accéder aux comptes de messagerie électronique compromis pour voler des données sensibles. Étant donné que la campagne vise des cadres de haut niveau, les comptes de messagerie électronique sont susceptibles de contenir de la propriété intellectuelle précieuse. Ils pourraient également être utilisés pour les escroqueries de type BEC afin de tromper les employés et les amener à effectuer des virements électroniques frauduleux.