Microsoft met en garde contre l’attaque de phishing SEABORGIUM qui se liera d’abord avec vous pour vous voler plus tard

Le Microsoft Threat Intelligence Center (MSTIC) a publié un avertissement concernant une campagne de phishing appelée « SEABORGIUM ». Bien qu’il ne soit pas nouveau, puisqu’il existe depuis au moins 2017, Microsoft pense en avoir suffisamment appris sur SEABORGIUM et son fonctionnement pour publier un guide complet qui pourrait aider les victimes potentielles à l’éviter.

Le danger de la campagne réside dans la façon dont les attaquants lancent l’attaque. Ils ont d’abord été vus en train d’effectuer une reconnaissance ou une surveillance étroite de victimes potentielles en utilisant des profils frauduleux sur les réseaux sociaux. Plusieurs adresses e-mail sont également générées pour usurper l’identité de véritables personnes afin de contacter des cibles.

Vous trouverez ci-dessous un exemple d’e-mail récent envoyé par des attaquants à des cibles pour instaurer la confiance et établir des relations :

Après cela, Microsoft affirme que les acteurs de SEABORGIUM fournissent des URL malveillantes directement dans les e-mails ou via des pièces jointes, comme vous pouvez le voir ci-dessous, imitant souvent les services d’hébergement tels que le propre OneDrive de Microsoft :

Par exemple, voici un exemple (ci-dessous) d’une pièce jointe qui n’a pas d’aperçu disponible, ce qui pourrait inciter les victimes à cliquer sur un lien malveillant qui dirige les victimes vers des portails de phishing :

Microsoft a noté l’utilisation du kit de phishing EvilGinx dans ce cas pour voler les informations d’identification des victimes. L’image ci-dessous montre un portail de phishing développé par SEABORGIUM pour inciter les victimes à voler leurs informations de connexion.

Dans le cadre de cette campagne globale SEABORGIUM, Microsoft a principalement observé des violations de données et des falsifications d’informations. Le géant de Redmond a expliqué en détail l’impact du premier :

Exfiltration de données et impact

• Exfiltration de renseignements : SEABORGIUM a été observé en train d’extraire des e-mails et des pièces jointes des boîtes aux lettres des victimes.
• Configuration de la collecte permanente de données : dans des cas limités, SEABORGIUM a été vu pour configurer des règles de transfert des boîtes aux lettres de la victime vers des comptes secrets contrôlés par le sujet, où le sujet a un accès à long terme aux données collectées. Nous avons observé à plusieurs reprises comment les acteurs pouvaient accéder aux données des listes de diffusion pour les groupes sensibles, tels que ceux fréquentés par d’anciens responsables du renseignement, et soutenir la collecte d’informations à partir des listes de diffusion pour un ciblage et une exfiltration ultérieurs.
• Accès aux personnes d’intérêt : il y a eu plusieurs cas où SEABORGIUM a utilisé ses comptes modèles pour faciliter le dialogue avec des personnes d’intérêt spécifiques et, par conséquent, a été inclus dans des conversations, parfois involontairement, impliquant plusieurs parties. La nature des conversations découvertes par les enquêtes de Microsoft suggère la divulgation d’informations potentiellement sensibles qui pourraient avoir une valeur de renseignement.

Vous pouvez trouver plus de détails dans le billet de blog officiel sur le site de Microsoft ici .