Microsoft met en garde contre une augmentation des activités malveillantes provenant d’un cluster de menaces émergentes qu’il suit. Tempête-0539 pour orchestrer la fraude et le vol de cartes-cadeaux via des attaques de phishing très sophistiquées par courrier électronique et SMS contre des entités de vente au détail pendant la période des achats des Fêtes.
Le but des attaques est de propager des liens piégés qui dirigent les victimes vers des pages de phishing de type adversaire au milieu (AiTM) capables de récupérer leurs informations d’identification et leurs jetons de session.
« Après avoir accédé à une session initiale et à un jeton, Storm-0539 enregistre son propre appareil pour les invites d’authentification secondaires ultérieures, contournant les protections MFA et persistant dans l’environnement en utilisant l’identité entièrement compromise », a déclaré le géant de la technologie. dit dans une série de messages sur X (anciennement Twitter).
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
La présence obtenue de cette manière sert en outre de canal pour élever les privilèges, se déplacer latéralement à travers le réseau et accéder aux ressources du cloud afin de récupérer des informations sensibles, en particulier en s’attaquant aux services liés aux cartes-cadeaux pour faciliter la fraude.
De plus, Storm-0539 collecte des e-mails, des listes de contacts et des configurations réseau pour des attaques ultérieures contre les mêmes organisations, ce qui nécessite des pratiques robustes d’hygiène des informations d’identification.
Redmond, dans son rapport mensuel Microsoft 365 Defender publié le mois dernier, a décrit l’adversaire comme un groupe motivé financièrement et actif depuis au moins 2021.
« Storm-0539 effectue une reconnaissance approfondie des organisations ciblées afin de créer des leurres de phishing convaincants et de voler les informations d’identification et les jetons des utilisateurs pour l’accès initial », précise-t-on. dit.
« L’acteur connaît bien les fournisseurs de cloud et exploite les ressources des services cloud de l’organisation cible pour les activités post-compromis. »
Cette divulgation intervient quelques jours après que la société a déclaré avoir obtenu une ordonnance du tribunal pour saisir l’infrastructure d’un groupe cybercriminel vietnamien appelé Storm-1152, qui vendait l’accès à environ 750 millions de comptes Microsoft frauduleux ainsi que des outils de contournement de vérification d’identité pour d’autres plates-formes technologiques.
Plus tôt cette semaine, Microsoft a également averti que plusieurs acteurs malveillants exploitaient les applications OAuth pour automatiser les cybercrimes à motivation financière, tels que la compromission de la messagerie professionnelle (BEC), le phishing, les campagnes de spam à grande échelle et déployer des machines virtuelles pour extraire illégalement des crypto-monnaies.