Les hameçonneurs utilisent des messages chiffrés à autorisation restreinte (.rpmsg) joints aux e-mails d’hameçonnage pour voler les informations d’identification du compte Microsoft 365.
« [Les campagnes] sont à faible volume, ciblées et utilisent des services cloud fiables pour envoyer des e-mails et héberger du contenu (Microsoft et Adobe) », déclarent Phil Hay et Rodel Mendrez, chercheurs chez Trustwave. « Les e-mails initiaux sont envoyés à partir de comptes Microsoft 365 compromis et semblent être ciblés vers des adresses de destinataires que l’expéditeur pourrait connaître. »
E-mails d’hameçonnage avec des messages d’autorisation restreints cryptés Microsoft
Les e-mails de phishing sont envoyés depuis un compte Microsoft 365 compromis à des personnes travaillant dans le service de facturation de l’entreprise destinataire.
E-mail de phishing avec un message chiffré à autorisation restreinte (Source : Trustwave)
Les e-mails contiennent une pièce jointe .rpmsg (message d’autorisation restreinte) et un bouton « Lire le message » avec une longue URL qui mène à office365.com pour l’affichage des messages.
Pour voir le message, les victimes sont invitées à se connecter avec leur compte de messagerie Microsoft 365 ou à demander un code secret à usage unique.
Après avoir utilisé le mot de passe reçu, les victimes reçoivent d’abord un message avec un faux thème SharePoint et sont invitées à cliquer sur un bouton pour continuer. Ils sont ensuite redirigés vers un document qui semble être hébergé sur SharePoint, mais qui est en fait hébergé sur le service InDesign d’Adobe.
Ils sont à nouveau invités à cliquer sur un bouton pour afficher le document, et sont redirigés vers un domaine qui ressemble à celui de l’expéditeur d’origine (par exemple, Talus Pay), avec une barre de progression.
En arrière-plan, la bibliothèque open source FingerprintJS collecte les informations sur le système et le navigateur de l’utilisateur et, enfin, la victime voit une page de connexion Microsoft 365 usurpée et est invitée à se connecter avec ses informations d’identification.
Se cacher des solutions de sécurité
« L’utilisation de messages .rpmsg cryptés signifie que le contenu de phishing du message, y compris les liens URL, est caché aux passerelles d’analyse des e-mails. Le seul lien URL dans le corps du message pointe vers un service de chiffrement Microsoft », Hay et Mendez noté.
« Le seul indice que quelque chose ne va pas est que l’URL a une adresse d’expéditeur spécifiée (chambless-math.com) sans rapport avec l’adresse De : de l’e-mail. Le lien a probablement été généré à partir d’un autre compte Microsoft compromis. »
Ils conseillent aux organisations :
- Bloquer, signaler ou inspecter manuellement les pièces jointes .rpmsg
- Surveiller les flux d’e-mails entrants pour les e-mails provenant de MicrosoftOffice365@messaging.microsoft.com et ayant pour objet « Votre code secret à usage unique pour afficher le message »
- Éduquez les utilisateurs aux conséquences du déchiffrement ou du déverrouillage du contenu d’e-mails non sollicités
- Mettre en œuvre l’authentification multifacteur.
Toute l’actualité en temps réel, est sur L’Entrepreneur
