Volexity, une entreprise américaine spécialisée en cybersécurité, indique avoir découvert une vague de cyberattaques russes à l’encontre de comptes Microsoft 365. Les cybercriminels visent les employés d’organisations liées à l’Ukraine et aux droits de l’Homme.
Pour prendre le contrôle des comptes, les hackers commencent par usurper l’identité de responsables de pays européens ou de diplomates ukrainiens. Ils entrent ensuite en contact avec leurs cibles par le biais d’une messagerie instantanée, comme WhatsApp ou Signal. Le message envoyé est une invitation à une conférence en ligne sur Microsoft Teams.
À lire aussi : Pour le retour de You sur Netflix, Avast alerte sur l’explosion des virus espions
Une attaque de phishing basée sur OAuth
Pour rejoindre la visioconférence, la cible est invitée à s’identifier par le biais d’une page OAuth. Pour rappel, Microsoft 365 utilise en effet le protocole OAuth pour l’authentification aux services en ligne. Ce système permet à des applications d’accéder à des ressources protégées sans avoir à connaître ni stocker le mot de passe de l’utilisateur.
Les pirates glissent des instructions dans un fichier PDF, accompagné de l’URL malveillante. Celle-ci va réclamer un code d’authentification. Les pirates prétendent que le code est indispensable pour participer à la réunion. Il s’agit d’un code d’autorisation OAuth valable pendant 60 jours. Ce code permet ensuite à l’attaquant de générer un jeton d’accès. Avec ce jeton, il peut accéder à tous les services Microsoft 365 auxquels l’utilisateur a normalement accès : mails, fichiers, calendrier, Teams…
En d’autres termes, l’attaquant peut se faire passer pour l’utilisateur dans son environnement professionnel. En cherchant à se connecter, les cibles vont donc ouvrir l’accès de leurs outils aux pirates russes. Ils peuvent ainsi s’emparer d’une montagne de données sensibles. L’opération repose sur l’ingénierie sociale.
« Ces attaques récemment observées reposent fortement sur l’interaction directe avec la victime : l’attaquant doit non seulement la convaincre de cliquer sur un lien, mais aussi de lui transmettre un code généré par Microsoft », explique le rapport de Volexity.
Selon les chercheurs de Volexity, la campagne est en cours depuis le mois de mars 2025. Une campagne de phishing analogue est apparue en avril, orchestrée par un autre gang de cybercriminels russes. Des attaques comparables ont aussi été décelées quelques semaines plus tôt, en février, à l’encontre de comptes Microsoft 365 sensibles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Volexity
