Plusieurs acteurs de menaces exécutant des attaques de phishing sur des cibles d’entreprise comptent sur le service Microsoft Sway pour inciter les victimes à fournir leurs informations de connexion Office 365.

Nommée PerSwaysion par des chercheurs en sécurité, la campagne s’appuie sur un kit de phishing proposé dans le cadre d’une opération MaaS (malware-as-a-service) et est une entreprise bien planifiée.

Outre l’accès aux comptes de messagerie d’entreprise, les fraudeurs obtiennent également des données commerciales sensibles, ce qui ouvre un large éventail de possibilités de gagner de l’argent. Ils peuvent exécuter des escroqueries financières, vendre des informations à d’autres acteurs ou profiter de stratégies de trading secrètes.

Cibles choisies par les cerises

PerSwaysion fonctionne depuis au moins août 2019 et des e-mails d’au moins 27 adversaires ont été trouvés dans plusieurs variantes du kit de phishing.

À ce jour, ils ont trompé au moins 156 personnes de haut rang dans des petites et moyennes sociétés de services financiers, des cabinets d’avocats et des groupes immobiliers.

Plus de 20 de tous les comptes Office 365 récoltés appartiennent à des cadres, présidents et directeurs généraux d’organisations aux États-Unis, au Canada, en Allemagne, au Royaume-Uni, aux Pays-Bas, à Hong Kong et à Singapour.

Des chercheurs en sécurité de la société de sécurité informatique Group-IB, basée à Singapour, ont découvert la campagne lors d’une réponse à un incident au premier trimestre de l’année et l’ont baptisée PerSwaysion en raison de «l’abus extensif du service Sway». Les services SharePoint et OneNote sont également utilisés, mais à un degré moindre.

Microsoft Sway est une application de narration qui permet de créer des communications interactives (rapports, présentations, histoires, newsletters).

Dans le contexte de PerSwaysion, le service est utilisé dans une phase finale de l’attaque, pour fournir aux victimes un document d’aspect réaliste qui redirige vers la page de phishing.

Pièce jointe bénigne, expéditeur non usurpé

Les victimes sont choisies après avoir effectué des reconnaissances sur des pages publiques. Group-IB a trouvé une adresse e-mail appartenant à un escroc qui a enregistré un compte LinkedIn. Ils pensent que cela a été utilisé pour trouver des cibles potentielles sur le réseau.

L’attaque…