Les chercheurs en sécurité ont découvert une nouvelle campagne de compromission des e-mails professionnels (BEC) qui consiste en un harponnage avancé avec des techniques Adversary-in-The-Middle (AiTM). Cette opération est utilisée pour pirater les comptes Microsoft 365 des dirigeants d’entreprise, même s’ils sont en fait protégés par MFA.
Pour détourner une transaction importante vers leurs comptes bancaires, les cyber-escrocs peuvent répondre aux e-mails au moment exact en suivant les communications d’employés de haut rang comme les PDG ou les directeurs financiers de grandes organisations en accédant à leurs comptes.
Ces types d’attaques par compromission des e-mails professionnels sont assez courants lorsqu’un e-mail est envoyé par les pirates à partir du compte piraté au dernier moment. Dans de tels cas, les expéditeurs des fonds sont priés d’effectuer la transaction sur le compte appartenant à celui des pirates.
La cible de ces e-mails de phishing est informée que le compte bancaire de l’entreprise sur lequel le paiement est généralement effectué a été gelé en raison d’une inspection financière. Ils reçoivent également de nouvelles instructions de paiement et sont invités à changer la destination du compte bancaire. Néanmoins, les personnes derrière ce nouveau compte bancaire sont les pirates qui volent l’argent.
Afin de réussir la campagne en trompant les destinataires, les attaquants détournent les fils de discussion et utilisent des portails de typosquattage qui ont tendance à passer rapidement pour authentiques aux représentants légaux CCed connus de la cible, en les liant dans l’échange.
Du compromis à la persistance MFA
Les dirigeants de l’entreprise ont commencé à être agressés avec un e-mail de phishing conçu pour donner l’impression qu’il provenait de DocuSign, une plate-forme de gestion des accords électroniques largement utilisée dans les environnements d’entreprise.
Même si l’e-mail ne devance pas les vérifications DMARC, Mitiga a remarqué que les erreurs de configuration de sécurité courantes introduites pour réduire les fausses alertes de spam positives de DocuSign l’aidaient à être livré dans la boîte de réception de la cible.