Au terme d'une opération coordonnée en début de mois, Microsoft et Cloudflare ont mis un terme aux activités de RaccoonO365, une plateforme de phishing avec un service par abonnement.
Grâce à une ordonnance de justice aux États-Unis, 338 sites web liés à ce service ont été saisis, portant un coup dur à une infrastructure en pleine croissance. Depuis juillet 2024, le groupe derrière RaccoonO365 avait réussi à dérober au moins 5 000 identifiants Microsoft 365 dans 94 pays.
Une menace accessible à tous
RaccoonO365 était un service de type Phishing-as-a-Service (PhaaS). Il proposait des kits de piratage clé en main, accessibles même aux cybercriminels les moins compétents sur le plan technique. Pour des tarifs allant de 355 dollars pour 30 jours à 999 dollars pour 90 jours, les clients pouvaient lancer des campagnes de phishing massives.
Des e-mails frauduleux imitant des marques de confiance (DocuSign, Adobe, Microsoft) contenaient un lien ou un QR code. La victime était ensuite dirigée vers une page de vérification CAPTCHA, conçue pour déjouer les systèmes de sécurité automatisés, avant d'atterrir sur une fausse page de connexion Microsoft 365. Le kit permettait même de contourner l'authentification à plusieurs facteurs pour voler non seulement le mot de passe, mais aussi le cookie de session.
« Cette affaire montre que les cybercriminels n'ont pas besoin d'être sophistiqués pour causer des dommages étendus. Des outils simples comme RaccoonO365 rendent la cybercriminalité accessible à pratiquement n'importe qui, mettant des millions d'utilisateurs en danger », déclare Steven Masada de la Digital Crimes Unit de Microsoft.
Le visage derrière RaccoonO365
Derrière cette organisation se cacherait un individu basé au Nigeria. L'enquête de Microsoft a permis de l'identifier comme le leader et probable auteur principal du code de RaccoonO365. Lui et ses associés géraient leur commerce via un canal Telegram privé comptant plus de 800 membres, acceptant les paiements uniquement en cryptomonnaies.
Les enquêteurs estiment que le groupe a reçu au moins 100 000 dollars, un chiffre qui serait largement sous-estimé. La chute a été provoquée par une erreur de sécurité opérationnelle des cybercriminels, qui a permis de découvrir un portefeuille de cryptomonnaies secret et de remonter jusqu'à eux. Un mandat d'arrêt international a ensuite été émis.
L'affaire a aussi révélé des collaborations probables avec des cybercriminels russophones, comme le suggère l'utilisation du russe dans le nom d'un bot Telegram.
Une riposte coordonnée et massive
Le démantèlement de RaccoonO365 est le fruit d'une stratégie de riposte proactive et à grande échelle. Plutôt que de s'attaquer aux domaines un par un, Microsoft et Cloudflare ont opté pour une action choc.
Cloudflare a réalisé ce qui présenté comme un « rugpull ». En quelques jours, l'entreprise a banni tous les domaines identifiés, bloqué les scripts malveillants et suspendu les comptes utilisateurs associés pour empêcher leur réenregistrement.
L'action a déstabilisé l'infrastructure des cybercriminels. Les opérateurs de RaccoonO365 ont tenté de rassurer leurs clients sur Telegram, présentant la perturbation comme une renaissance planifiée de leur service et promettant une migration vers une nouvelle plateforme.
N.B. : Source images : Cloudflare.
