Un attaquant a envoyé de nombreux e-mails de phishing via le serveur Exchange de Microsoft afin de voler les données de carte de crédit de ses victimes.

Un pirate informatique a utilisé à mauvais escient de nombreux serveurs Microsoft Exchange pour envoyer des e-mails de phishing destinés à inciter les victimes à fournir les détails de leur carte de crédit dans le cadre d’un concours frauduleux. L’attaquant a procédé avec beaucoup de prudence et semblait déjà expérimenté dans la gestion des campagnes de spam.

La concurrence supposée devrait collecter les données de carte de crédit

Selon un rapport de l’équipe de recherche Microsoft 365 Defender, un pirate a utilisé des attaques de credential stuffing pour accéder aux serveurs Exchange via des applications OAuth malveillantes afin d’envoyer des e-mails de phishing. L’attaquant a ciblé des comptes d’administrateur qui n’étaient pas protégés par l’authentification multifacteur (MFA). Cela lui a donné son premier accès.

« L’accès non autorisé au locataire cloud a permis à l’acteur de créer une application OAuth malveillante qui a injecté un connecteur entrant malveillant dans le serveur de messagerie » indique le rapport de Microsoft.

Le cybercriminel a alors utilisé ce connecteur entrant, «pour envoyer des spams qui semblent provenir du domaine de la personne cible.Après tout, les e-mails étaient destinés à inciter leurs destinataires à s’inscrire à un abonnement payant et à entrer les détails de leur carte de crédit dans le cadre d’un supposé tirage au sort.

Afin de contourner la défense et de ne pas être détecté, l’attaquant a supprimé le connecteur entrant et toutes les règles de transport entre les campagnes de spam. L’application OAuth, en revanche, est restée. Il a de nouveau été utilisé pour la prochaine vague d’attaques afin d’ajouter à plusieurs reprises des connecteurs et des règles sur le serveur Microsoft Exchange.

Les chercheurs de Microsoft donnent à l’attaquant des années d’expérience en matière de spam

Pour que le pirate atteigne une plus grande portée, il a utilisé une infrastructure de messagerie sortante basée sur le cloud non Microsoft. Les services Amazon SES et Mail Chimp ont principalement été utilisés. Ces plateformes sont souvent utilisées à des fins marketing et permettent donc parfois l’envoi d’emails en masse.

« L’acteur à l’origine de cette attaque mène activement des campagnes de spam depuis de nombreuses années», soulignent les chercheurs de Microsoft dans leur rapport. En peu de temps, l’attaquant aurait envoyé de grandes quantités de spams en utilisant d’autres méthodes. Par exemple, en se connectant à des serveurs de messagerie à partir d’adresses IP frauduleuses ou directement via une infrastructure légitime d’envoi d’e-mails en masse basée sur le cloud.

Selon l’équipe, Microsoft a déjà mis hors ligne toutes les applications associées. Les clients concernés ont également été informés afin qu’ils puissent prendre les mesures appropriées.