Microsoft a mis fin à une opération tentaculaire de Business Email Compromise (BEC), ou arnaques au Président, dont l'infrastructure était hébergée dans plusieurs services web. En utilisant ces actifs basés sur le cloud, les acteurs de la menace ont infiltré des centaines de boîtes aux lettres dans plusieurs organisations et ont mis la main sur des données financières sensibles.

Microsoft a mis fin à une opération tentaculaire de Business Email Compromise (BEC) dont l'infrastructure était hébergée dans plusieurs services web. En utilisant ces actifs basés sur le cloud, les acteurs de la menace ont infiltré des centaines de boîtes aux lettres dans plusieurs organisations et ont mis la main sur des données financières sensibles.

« Les attaquants ont utilisé cette infrastructure basée sur le cloud pour compromettre des boîtes aux lettres via le phishing et ajouter des règles de transfert, ce qui a permis à ces attaquants d'avoir accès à des courriels concernant des transactions financières », précise Microsoft.

Les acteurs malveillants ont pu rester sous le radar, notamment grâce à leur utilisation de multiples services web. Pour confondre la détection, ils menaient leurs activités pour différentes IP et périodes, ce qui les rendait difficiles à suivre, puisqu'il ne semblait pas que leurs actions soient liées ou fassent partie d'une opération plus vaste.

LECTURE RECOMMANDÉE : 16h15 : Un message urgent du président

Pour parvenir à se faufiler dans  les systèmes de leurs cibles, les attaquants ont commencé par une attaque de phishing grâce à laquelle ils ont volé des identifiants de connexion et se sont introduits dans les boîtes aux lettres, puis ont mis en place des règles de transfert d'e-mails. Microsoft a souligné que l'authentification multifactorielle est un outil utile pour prévenir de telles attaques.

L'e-mail d’hameçonnage contenait une pièce jointe HTML se faisant passer pour un message vocal. Une fois que la victime a cliqué sur la pièce jointe, celle-ci se manifeste par une page de connexion Microsoft avec le nom d'utilisateur déjà renseigné - un peu comme les pages de connexion normales des entreprises.

Cependant, une fois que la cible a saisi son mot de passe et tenté de se connecter, la page génère un message d'erreur qu’on pourrait traduire par « fichier non trouvé ». Pendant ce temps, les identifiants de connexion sont envoyés aux attaquants. À partir de là, ces derniers configurent les règles de transfert et la campagne BEC peut commencer pour de bon.

Ces règles de transfert permettaient aux attaquants de rediriger les e-mails à caractère financier vers les adresses e-mail contrôlées par les attaquants, à savoir ex@exdigy.net et in@jetclubs.biz. Les attaquants ont également ajouté des règles pour supprimer les e-mails transférés de la boîte aux lettres afin de rester discrets", explique Microsoft.

Une fois que l'entreprise a découvert l'opération, elle a collaboré avec les services de police et les partenaires industriels pour démanteler l'infrastructure qui alimentait l'escroquerie.

Les escroqueries de type BEC - un problème coûteux et récurrent

Selon le rapport 2020 sur la cybercriminalité du FBI, les escroqueries de type BEC sont les plus coûteuses, puisque les pertes liées aux 19 000 signalements de ces escroqueries ont atteint un total de près de 2 milliards de dollars US l'année dernière. Il convient de noter que les pertes liées aux escroqueries BEC ont dépassé les pertes combinées des six autres types de cybercriminalité les plus coûteux.