Une nouvelle campagne de compromis sur les e-mails professionnels (BEC) a entraîné le détournement de plus de 15 millions de dollars d’au moins 150 organisations dans le monde, rapporte la société de cybersécurité Mitiga.

L’acteur de la menace derrière les attaques s’est appuyé exclusivement sur Office 365 pour réduire les soupçons sur les adresses e-mail malveillantes utilisées, qui se faisaient passer pour des cadres supérieurs dans le but de tromper les employés des entreprises ciblées pour qu’ils envoient des fonds vers des comptes bancaires contrôlés par les attaquants.

En outre, dans le cadre de la campagne, les attaquants ont utilisé des domaines malveillants enregistrés sur Wild West Domains (qui appartient à GoDaddy), qui imitaient tous les sites Web d’entreprises légitimes.

Lors d’un incident, qui a abouti à une transaction mondiale de plusieurs millions de dollars, Mitiga a découvert que «l’attaque de l’acteur menaçant s’étalait sur plusieurs mois», qu’elle avait été soigneusement préparée et qu’elle impliquait également «la surveillance et la manipulation du trafic de messagerie avant et lors du transfert de fonds. »

L’adversaire a pu intercepter les communications entre deux organisations et, une fois que la transaction est entrée dans la phase de paiement, ils ont usurpé l’identité de parties supérieures pour fournir à l’acheteur des instructions de virement modifiées.

Les attaquants ont créé une règle de transfert dans les adresses e-mail de la partie touchée, pour que tous les e-mails soient automatiquement envoyés vers une boîte de réception externe. Ainsi, l’acteur de la menace a acquis une visibilité totale sur la transaction.

Des règles de filtrage ont également été utilisées pour garantir que certains messages seraient déplacés vers un dossier caché, ce qui cachait les communications du propriétaire de la boîte aux lettres et empêchait la découverte de l’attaque.

«Nous pensons que l’acteur de la menace a choisi d’utiliser Office 365 afin d’améliorer la probabilité d’une attaque réussie, grâce à la crédibilité qu’il peut générer. L’utilisation de la même pile technologique par l’acteur menaçant a réduit à la fois les écarts suspects et la probabilité de déclenchement …