C'est en novembre dernier que les chercheurs de proofpoint ont mis à jour une vaste campagne de phishing ciblant la plateforme de cloud computing Microsoft Azure, avec à la clé, la compromission de dizaines d'espaces de travail.
Les hackers ont ainsi utilisé une technique assez standard en glissant des liens frauduleux dans des mails envoyés aux clients des services Azure. Après avoir cliqué sur le lien en question, les victimes étaient renvoyées vers une page web invitant ces dernières à renseigner leurs informations d'identification Microsoft pour consulter un document spécifique. Les données sont collectées et permettent ainsi d'obtenir un accès complet aux comptes Azure.
Proofpoint a indiqué que la campagne avait un ciblage très particulier : ils visaient les postes à responsabilité comme les directeurs de vente, gestionnaires de comptes, afin d'obtenir différents niveaux d'accès au sein de mêmes entreprises.
Une fois les accès en poche, les cybercriminels pouvaient récupérer des documents confidentiels sensibles comme des actifs financiers, protocoles de sécurité internes, informations sur les employés. Puis les comptes sont utilisés pour attaquer d'autres membres des entreprises en vue d'un contrôle le plus important possible des espaces professionnels permettant la mise en place d'une rançon.
Selon Proofpoint, les pirates impliqués dans ces attaques seraient russes et nigérians.