Les universités américaines visées par les attaques de phishing d’Office 365

Office 365 phishing

Les universités américaines sont la cible de plusieurs attaques de phishing conçues pour usurper l’identité des portails de connexion des collèges afin de voler de précieuses informations d’identification Office 365.

Les leurres utilisés dans les dernières campagnes incluent les variantes COVID-19 Delta et Omicron et divers thèmes sur leur impact présumé sur les programmes éducatifs.

Ces campagnes seraient menées par de multiples acteurs de la menace à partir d’octobre 2021, avec Preuve partager des détails sur les tactiques, techniques et procédures (TTP) utilisées dans les attaques de phishing.

Cibler les universités américaines

L’attaque de phishing commence par un e-mail qui prétend être des informations sur la nouvelle variante Omicron, les résultats des tests COVID-19, les exigences de test supplémentaires ou les changements de classe.

Ces e-mails incitent le destinataire à cliquer sur un fichier HTM joint, ce qui l’amène à une page de connexion clonée pour le portail de connexion de son université.

Pièce jointe HTM arrivant avec l'e-mail de phishing
Pièce jointe HTM arrivant avec l’e-mail de phishing
Source : preuve

Les exemples publiés par Proofpoint semblent très convaincants en termes d’apparence, et les URL utilisent un modèle de nommage similaire qui inclut le domaine de premier niveau .edu.

Par exemple, une attaque de phishing ciblant des étudiants de l’Arkansas State University a utilisé une URL de sso2[.]un état[.]éducation[.]ennuyeuse[.]cf.

Page universitaire falsifiée avec une section de connexion
Page universitaire falsifiée avec une section de connexion
Source : preuve

D’autres exemples de domaines malveillants configurés pour prendre en charge la campagne de phishing sont donnés ci-dessous :

  • sso[.]ucmo[.]éducation[.]ennuyeuse[.]cf/Covid19/authenticationedpoint.html
  • étude de la bible hfbc[.]org/demo1/includes/jah/[university]/auth[.]php*
  • afr-tours[.]co[.]za/includes/css/js/edu/web/etc/login[.]php*
  • aide-voyage[.]com/css/js/[university]/auth[.]php*

Les pièces jointes HTM connaissent un grand succès dans le phishing ces derniers temps, car elles permettent aux acteurs de faire passer des logiciels malveillants en contrebande et de les assembler sur l’appareil cible. Dans ce cas, cependant, le HTM contient un lien vers un site de vol d’informations d’identification.

Dans certains cas (marqués d’un astérisque), ces destinations sont des sites WordPress légitimes qui ont été compromis pour voler des informations d’identification, de sorte qu’aucune alarme ne sera déclenchée par les outils de sécurité Internet ou de protection des e-mails lorsque la victime atterrira dessus.

Sur la base des URL partagées par Proofpoint, certaines des universités ciblées par ces attaques incluent l’Université du Missouri central, Vanderbilt, l’Université d’État de l’Arkansas, Purdue, Auburn, l’Université de Virginie-Occidentale et l’Université du Wisconsin-Oshkosh.

Snacking Duo OTP

Pour contourner la protection MFA (authentification multifacteur) sur les pages de connexion universitaires ciblées, les acteurs de la menace ont également créé des pages de destination qui usurpent une page DUO MFA, qui est utilisée pour voler les codes d’accès à usage unique envoyés aux étudiants et aux professeurs.

Une fois qu’une victime a saisi ses informations d’identification sur la page de connexion falsifiée, la victime est invitée à saisir le code qu’elle a reçu par SMS sur son téléphone afin que les acteurs puissent l’arracher et l’utiliser directement pour prendre en charge le compte.

Usurpation du système Duo MFA
Usurpation du système Duo MFA
Source : preuve

Cette étape nécessite une action immédiate car les OTP ont des délais d’expiration courts.

Implications

Les informations d’identification Office 365 peuvent être utilisées par des acteurs malveillants pour accéder au compte de messagerie correspondant, envoyer des messages à d’autres utilisateurs du groupe de travail, détourner des paiements et poursuivre le phishing pour voler des comptes plus précieux.

De plus, l’acteur peut accéder et exfiltrer des informations sensibles stockées dans les dossiers OneDrive et SharePoint du compte.

Ces attaques de phishing pourraient potentiellement conduire à des incidents BEC dommageables et à des infections de ransomware hautement perturbatrices pour les universités.

Les fichiers HTM sont ouverts dans un navigateur, donc techniquement, vous ne pouvez jamais être sûr à 100%. Ne cédez pas à la curiosité si vous en recevez une en pièce jointe dans un e-mail non sollicité.

Marquez simplement le message comme spam et supprimez-le.