Les attaquants utilisent désormais des pièces jointes RPMSG cryptées envoyées via des comptes Microsoft 365 compromis pour voler les informations d’identification Microsoft dans des attaques de phishing ciblées conçues pour échapper à la détection par les passerelles de sécurité de messagerie.
Les fichiers RPMSG (également appelés fichiers de messages d’autorisation restreints) sont des pièces jointes chiffrées créées à l’aide des services de gestion des droits (RMS) de Microsoft et offrent une couche supplémentaire de protection aux informations sensibles en limitant l’accès aux destinataires autorisés.
Les destinataires qui souhaitent les lire doivent s’authentifier à l’aide de leur compte Microsoft ou obtenir un mot de passe à usage unique pour décrypter le contenu.
Comme Trustwave l’a récemment découvert, les exigences d’authentification de RPMSG sont maintenant exploitées pour inciter les cibles à remettre leurs informations d’identification Microsoft à l’aide de faux formulaires de connexion.
« Cela commence par un e-mail provenant d’un compte Microsoft 365 compromis, dans ce cas de Talus Pay, une société de traitement des paiements », a déclaré Trustwave.
« Les destinataires étaient des utilisateurs du service de facturation de la société destinataire. Le message affiche un message crypté Microsoft. »
Les e-mails des acteurs de la menace demandent aux cibles de cliquer sur un bouton « Lire le message » pour déchiffrer et ouvrir le message protégé, les redirigeant vers une page Web Office 365 avec une demande de connexion à leur compte Microsoft.
Après authentification à l’aide de ce service Microsoft légitime, les destinataires peuvent enfin voir l’e-mail de phishing des attaquants qui les enverra vers un faux document SharePoint hébergé sur le service InDesign d’Adobe après avoir cliqué sur un bouton « Cliquez ici pour continuer ».
À partir de là, cliquer sur « Cliquez ici pour afficher le document » mène à la destination finale qui affiche une page vide et un message « Chargement…Attendre » dans la barre de titre qui agit comme un leurre pour permettre à un script malveillant de collecter divers système information.
Les données collectées incluent l’identifiant du visiteur, le jeton de connexion et le hachage, les informations de rendu de la carte vidéo, la langue du système, la mémoire de l’appareil, la simultanéité matérielle, les plug-ins de navigateur installés, les détails de la fenêtre du navigateur et l’architecture du système d’exploitation.
Une fois que le script a fini de collecter les données des cibles, la page affichera un formulaire de connexion Microsoft 365 cloné qui enverra les noms d’utilisateur et mots de passe saisis aux serveurs contrôlés par l’attaquant.
La détection et la lutte contre ces attaques de phishing peuvent s’avérer assez difficiles en raison de leur faible volume et de leur nature ciblée, comme l’ont observé les chercheurs de Trustwave.
De plus, l’utilisation par les attaquants de services cloud fiables tels que Microsoft et Adobe pour envoyer des e-mails de phishing et héberger du contenu ajoute une couche supplémentaire de complexité et de fiabilité.
Les pièces jointes RPMSG chiffrées dissimulent également les messages de phishing des passerelles d’analyse des e-mails, étant donné que le seul lien hypertexte dans l’e-mail de phishing initial dirige les victimes potentielles vers un service Microsoft légitime.
« Éduquez vos utilisateurs sur la nature de la menace, et ne tentez pas de déchiffrer ou de déverrouiller des messages inattendus provenant de sources extérieures », conseille Trustwave aux entreprises qui souhaitent atténuer les risques posés par ce type d’attaque de phishing.
« Pour éviter que les comptes Microsoft 365 ne soient compromis, activez l’authentification multifacteur (MFA). »