Selon un avertissement du fournisseur de sécurité Check Point, les cybercriminels derrière une campagne de phishing réussie ont révélé plus de 1000 informations d’identification d’employés d’entreprise sur Internet.

Les identifiants du compte d’entreprise ont été volés dans le cadre d’une campagne de phishing lancée en août 2020, ciblant des milliers d’organisations dans le monde.

Dans le cadre de la campagne, les attaquants ont réussi à contourner le filtrage Microsoft Office 365 Advanced Threat Protection (ATP), ce qui leur a permis de récolter plus d’un millier d’informations d’identification auprès des victimes.

Selon Check Point, les mécréants à l’origine de la campagne ont commis une simple erreur qui a finalement abouti à ce que les informations d’identification volées soient accessibles au public sur Internet, «sur des dizaines de serveurs de zone de dépôt utilisés par les attaquants».

Pour cette raison, n’importe qui aurait pu utiliser la recherche Google pour trouver les mots de passe des adresses e-mail compromises et volées.

L’attaque a commencé avec des e-mails de phishing se faisant passer pour des notifications Xerox, tentant d’attirer les victimes en cliquant sur une pièce jointe HTML malveillante, ce qui a entraîné le navigateur affichant une image floue.

Cependant, le code JavaScript exécuté en arrière-plan effectuerait des vérifications de mot de passe et enverrait des données aux serveurs de zone de dépôt contrôlés par les attaquants, après quoi il redirigerait la victime vers une page de connexion Office 365 légitime.

Check Point note également que les attaquants ont continuellement affiné le code tout au long de la campagne, créant une expérience plus réaliste, dans le but d’éviter tout type de suspicion de la part des victimes et de s’assurer que leurs attaques peuvent échapper à la détection par les fournisseurs d’antivirus.

Les cybercriminels ont utilisé à la fois leur propre infrastructure pour héberger les domaines utilisés dans les attaques de phishing et des dizaines de sites Web WordPress compromis qui ont été utilisés comme serveurs de zone de dépôt.

«Les attaquants préfèrent généralement utiliser des serveurs compromis au lieu des leurs …

Voir la source de cette publication