Campagne d’hameçonnage OneDrive en cours !
juin 26, 2024
2 minutes de lecture
Nous souhaitons attirer votre attention sur une campagne d’hameçonnage actuellement en cours. Le message provient d’un compte légitime piraté, vous invitant à accéder à un fichier partagé sur OneDrive. Le OneDrive utilisé est celui de la victime, rendant ainsi le message entièrement légitime.
Comment repérer l’email frauduleux ?
1- Vous recevez un email du compte piraté ayant pour objet une invitation à un partage OneDrive.
2- A l’ouverture du fichier PDF, un bouton « ACCES » apparaît et vous redirige vers une page de connexion O365 vous demandant votre identifiant et mot de passe.
3- Cette page est en réalité un portail web appartenant à l’attaquant.
4- Une nouvelle règle Outlook est créée, supprimant tous les messages arrivant en boîte de réception.
5- L’application PERFECTDATA SOFTWARE, permettant la sauvegarde de la boîte mail, est installée par l’attaquant sur le client Outlook. Cette dernière peut être utilisée à des fins d’exfiltration de données.
Conduite à tenir pour se protéger :
1- Supprimer le fichier PDF sur le OneDrive de la victime pour stopper l’hameçonnage.
2- Changer le mot de passe du/des comptes compromis.
3- Forcer la déconnexion de toutes les sessions de l’utilisateur.
4- Contrôler et supprimer les règles Outlook suspectes.
5- Supprimer l’application PERFECTDATA SOFTWARE installée par l’attaquant sur le client Outlook.
6- Bloquer l’URL malveillante.
Une variante de cette technique d’hameçonnage a été observée également avec OneNote.
Soyez vigilants :
-Vérifiez l’authenticité des emails avant de cliquer sur des liens.
-Activez l’authentification multi-facteurs (MFA) sur vos comptes.
-Signalez tout comportement suspect à votre équipe de sécurité.
En adoptant ces mesures, vous pouvez réduire considérablement les risques associés à cette attaque.
Merci à Arebis informatique pour leur aide précieuse dans l’investigation.
Partager :