OneDrive-Mobile-Et-Desktop-Microsoft

Craigslist est peut-être l’endroit où les gens se dirigent pour acheter des biens d’occasion, mais il est également utilisé par les acteurs de la menace pour contourner la sécurité de Microsoft Office. Les chercheurs en sécurité d’INKY ont découvert que le réseau de messagerie interne de Craigslist avait été piraté lors d’une attaque ciblée visant les utilisateurs de Microsoft OneDrive.

Il semble que le système de messagerie ait été utilisé pour envoyer un message d’apparence légitime. En fait, les messages proviennent d’une véritable adresse IP Craigslist, ce qui les rend authentiques. Dans les e-mails, les utilisateurs sont informés qu’un ajout qu’ils ont placé sur la plate-forme enfreint les termes et conditions.

L’avertissement est accompagné d’instructions permettant à l’utilisateur d’éviter que son compte ne soit supprimé. Un problème est que les instructions et l’ensemble de l’e-mail sont faux.

Publicité

INKY rapporte que les attaquants ont pu détourner le réseau de messagerie de Craigslist et modifier le code HTML de l’e-mail en un message personnalisé contenant un lien de téléchargement de logiciel malveillant sur Microsoft OneDrive. Ce document imite des logiciels légitimes comme Norton et DocuSign. La victime pense qu’elle suit de vraies instructions, mais qu’elle est en fait dirigée vers un logiciel malveillant.

👉🏼 Lecture complémentaire :  Apple pourrait en fait commencer à vendre un adaptateur secteur pour iPhone qui vaut la peine d'être acheté

« Étant donné que l’URL pour résoudre le problème hébergeait un document personnalisé placé sur Microsoft OneDrive, il n’apparaissait dans aucun flux de renseignements sur les menaces, ce qui lui permettait de passer devant la plupart des fournisseurs de sécurité », explique l’équipe de recherche.

« Craigslist connaît l’identité de chacun, mais à moins qu’un correspondant ne divulgue des détails, ils sont parfaitement anonymes pour les autres sur le système », poursuit INKY. « Cette situation convient parfaitement aux hameçonneurs. Ils peuvent tirer leurs flèches empoisonnées derrière un proxy de messagerie local. Et ils ont tiré – plusieurs fois début octobre.

Attaque par e-mail

Le message sur l’e-mail se lit comme suit :

« La politique de publication de contenu de notre plate-forme interdit explicitement le contenu inapproprié, votre annonce a reçu de nombreux drapeaux rouges », lit-on dans l’e-mail. « Une description plus détaillée du problème est disponible dans ce formulaire. Il sera disponible 24 heures sur 24.

Lorsque l’utilisateur clique sur le « formulaire », il est dirigé vers un document Microsoft OneDrive infecté.

« Il semble que de mauvais acteurs aient pu manipuler le code HTML de l’e-mail pour créer ce bouton et le lier à OneDrive », ont écrit les chercheurs. « Survoler le lien a révélé un domaine russe (myjino[.]rou). »

👉🏼 Lecture complémentaire :  Surface Laptop Studio obtient un taux de rafraîchissement dynamique sur Windows 11

Astuce du jour : Votre disque système est constamment plein et vous avez régulièrement besoin de libérer de l’espace ? Essayez le nettoyage de disque de Windows 10 en mode étendu qui va bien au-delà de la procédure standard. Notre didacticiel vous montre également comment créer un raccourci sur le bureau pour exécuter cette méthode avancée directement depuis le bureau.

Publicité

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici