Escroquerie de phishing 'TurkeyBombing'

Nous vivons à une époque précaire et sans précédent où notre vie quotidienne a été bouleversée par la pandémie mondiale. De larges segments de personnes ont été contraints de déplacer de nombreux aspects de leurs activités habituelles vers le domaine en ligne, créant ainsi une opportunité significative pour les cybercriminels. Plus tôt en 2020, les chercheurs d'Infosec ont déjà découvert plusieurs cas où des acteurs de la menace ont profité de la plate-forme Zoom Video Communications pour perturber les réunions en ligne dans les deux environnements de travail, ainsi que des personnes en contact avec leurs familles et leurs proches.

Une campagne beaucoup plus sinistre, cependant, a été déclenchée autour de Thanksgiving et pourrait se poursuivre pendant un certain temps. Baptisé TurkeyBombing, il a ciblé des millions de victimes potentielles avec des milliers qui sont déjà tombés dans la tactique. L'objectif des cybercriminels est d'obtenir les informations d'identification Microsoft des utilisateurs Zoom sans méfiance qui peuvent avoir utilisé la plate-forme pendant le long week-end de Thanksgiving.

Les pirates informatiques profitent de Thanksgiving pour mener une attaque de phishing

L'attaque commence par la diffusion d'innombrables e-mails de phishing par les pirates. Les e-mails trompeurs indiquent que l'utilisateur ciblé a reçu une invitation à une visioconférence et contiennent un lien censé conduire l'utilisateur à la conférence téléphonique. Au lieu de cela, le lien corrompu redirige vers une fausse page de connexion Microsoft hébergée sur Appspot.com. Il s'agit d'un domaine légitime que les développeurs de logiciels utilisent souvent pour héberger des applications Web dans un centre de données géré par Google.

La page de connexion est cependant loin d'être légitime, car elle collecte toutes les informations d'identification entrées par la victime. Pour réduire davantage les chances des utilisateurs de remarquer que quelque chose ne va pas, la fausse page de connexion pré-remplit le champ demandant une adresse e-mail avec l'e-mail de l'utilisateur. Il demande ensuite les informations d'identification d'un compte Microsoft associé. En plus de collecter toutes ces informations d'identification, la page de destination enregistre également l'adresse IP et la géolocalisation de la victime. Si les pirates reçoivent les informations d'identification d'un compte privilégié Microsoft, ils essaieront d'y accéder via une vérification des informations d'identification IMAP (Internet Message Access Protocol).

Jusqu'à présent, il a été confirmé que les cybercriminels ont réussi à obtenir plus de 3600 adresses e-mail uniques des victimes. Avec des millions de personnes essayant de voir leurs proches pendant le week-end de Thanksgiving, ce qui a entraîné plusieurs millions d'appels vidéo, le nombre réel de comptes compromis pourrait être beaucoup plus important.