JAKARTA - Microsoft a alerté sur une campagne de phishing sophistiquée qui utilise la fonction OAuth pour envoyer du malware à des organisations gouvernementales et publiques. Contrairement aux attaques classiques qui volent des mots de passe, cette nouvelle tactique utilise des pages de connexion officielles comme point d’entrée pour distribuer des fichiers dangereux.
Selon un rapport officiel de Microsoft, le groupe de hackeurs a exploité une fonction de redirection valide dans le système OAuth. OAuth est en soi un protocole d’autorisation qui permet aux utilisateurs de se connecter à un service en utilisant un compte approuvé sans avoir à partager directement leurs identifiants avec une application tierce. Par conception, le système est sécurisé. Cependant, dans cette campagne, la faille n’est pas due à une erreur, mais à la façon dont la fonction est manipulée.
Les auteurs envoient des e-mails très convaincants. Certains se déguisent en enregistrements de réunions Microsoft Teams, d'autres prétendent être des notifications de réinitialisation de mot de passe Microsoft 365 urgentes. Dans les e-mails, il y a des liens avec des paramètres OAuth modifiés.
Lorsque la victime clique sur le lien, elle est redirigée vers la page de connexion officielle de Microsoft. Il n’y a rien de suspect. Mais le processus d’authentification est délibérément déclenché, ce qui génère une erreur. C’est cette erreur qui active la fonction de redirection, de sorte que l’utilisateur est redirigé sans problème vers le site contrôlé par les pirates.
A ce stade, l'attaque change de forme. Les victimes ne sont pas invitées à réentrer leur mot de passe. Au contraire, elles sont redirigées vers une plate-forme de phishing-as-a-service qui fournit des fichiers de téléchargement dangereux.
Dans l’un des cas révélés, la victime a téléchargé un fichier ZIP contenant des fichiers de raccourcis et des composants HTML de trafic. Lors de l’ouverture, le fichier exécute une commande PowerShell cachée qui appelle un exécutable valide, puis charge une DLL dangereuse par le biais d’une technique de chargement latéral. Le résultat final est une connexion à un serveur de commande et de contrôle appartenant à l’attaquant.
Microsoft a insisté sur le fait que la page de connexion OAuth n’a pas été piratée et qu’il n’y a pas eu de vol de cordonnées sur l’écran officiel. Le système fonctionne comme prévu. Cependant, la fonction de redirection qui est censée renvoyer les utilisateurs vers l’application après la connexion est devenue une voie de distribution de malware.
Cette attaque reflète l'évolution des techniques de phishing. Si autrefois, le but était de tromper les utilisateurs pour qu'ils transmettent des mots de passe, la méthode est maintenant plus subtile : tirer parti de la confiance dans les pages de connexion officielles pour créer un sentiment de sécurité avant de piéger la victime avec un téléchargement dangereux.
La société technologique a exhorté les organisations à renforcer les systèmes de filtrage des e-mails, à revoir la configuration des redirections des applications et à améliorer la formation du personnel sur les tactiques de phishing avancées. L'ampleur de la campagne n'est pas encore connue avec certitude, mais les tendances des attaques montrent un niveau de planification minutieuse.
À une époque où la connexion unique et l’authentification centralisées sont la colonne vertébrale de la productivité numérique, chaque fonctionnalité de confort peut se transformer en un outil de manipulation si elle n’est pas surveillée de près. Le monde cybernétique se déplace rapidement, et les acteurs de la menace semblent de plus en plus créatifs dans l’utilisation de ce qui est légitime en quelque chose de dangereux
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
