Une nouvelle campagne de phishing, baptisée « OneDrive Pastejacking », utilise des e-mails contenant des fichiers HTML malveillants pour inciter les victimes à exécuter un script PowerShell dangereux.
Les chercheurs en cybersécurité de Trellix ont bien fait de ne pas prendre leurs congés d'été en juillet. Ils ont pu dénicher une campagne de phishing qui vise les utilisateurs de Microsoft OneDrive en abusant de leur confiance envers ce service de stockage en ligne populaire. Les pirates rivalisent d'ingéniosité pour duper leurs cibles : ils misent sur l'ingénierie sociale et des leurres visuels élaborés.
Le modus operandi est bien rodé. Un e-mail contenant un fichier HTML en pièce jointe arrive dans la boîte de réception de la victime. Une fois ouvert, ce fichier affiche une fausse page OneDrive avec un message d'erreur crédible. L'utilisateur est alors invité à suivre des instructions pour résoudre un prétendu problème DNS. Il ne sait pas, à ce stade de la compétition, que ces actions l'amènent à exécuter un script PowerShell malveillant à son insu.
Une technique de phishing élaborée qui joue sur la confiance
L'attaque « OneDrive Pastejacking » se distingue par son niveau de sophistication. Les cybercriminels ont minutieusement conçu leur leurre pour qu'il soit le plus convaincant possible. L'e-mail d'hameçonnage contient un fichier HTML qui, une fois ouvert, affiche une réplique quasi parfaite d'une page OneDrive.
Un message d'erreur falsifié indique à l'utilisateur qu'il doit mettre à jour manuellement son cache DNS pour résoudre un problème de connexion. Deux options sont proposées : « Comment résoudre le problème » et « Détails ». La seconde dirige vers une page Microsoft légitime, renforçant ainsi la crédibilité du leurre. C'est en cliquant sur « Comment résoudre le problème » que l'utilisateur tombe dans le piège. En plus d'être doués, les hackers sont cyniques.
Il est alors invité à suivre une série d'étapes, notamment à ouvrir PowerShell et à coller une commande codée en Base64. Cette commande, une fois exécutée, télécharge et lance des fichiers malveillants sur l'ordinateur de la victime. La campagne a déjà touché des utilisateurs dans plusieurs pays, dont les États-Unis, l'Allemagne, l'Inde et le Royaume-Uni. Si la France semble épargnée, OneDrive est souvent la cible d'attaques de phishing et ne connaît pas de frontière, alors prudence.
Comment se protéger contre ce type d'attaque par phishing
Pour éviter de tomber dans le panneau de cette campagne de phishing ou d'autres similaires, quelques réflexes simples peuvent faire toute la différence. Premièrement, méfiez-vous systématiquement des e-mails non sollicités, même s'ils semblent provenir d'une source fiable comme Microsoft.
Vérifiez toujours l'adresse de l'expéditeur et ne cliquez jamais sur des liens ou pièces jointes suspects. Si un message vous demande d'effectuer une action urgente, prenez le temps de la réflexion. Contactez directement le service concerné par le biais de ses canaux officiels en cas de doute.
Gardez à l'esprit que Microsoft ou d'autres entreprises légitimes ne vous demanderont jamais d'exécuter des commandes PowerShell ou de fournir vos identifiants par e-mail. Soyez particulièrement vigilant face aux messages qui jouent sur l'urgence ou la peur de perdre l'accès à vos données.
Enfin, assurez-vous que votre système d'exploitation et vos logiciels de sécurité sont toujours à jour. Activez l'authentification à deux facteurs sur tous vos comptes importants, y compris OneDrive. Cette simple mesure peut bloquer la plupart des tentatives d'accès non autorisées, même si vos identifiants ont été compromis.
- mood5 Go de stockage gratuit
- upload250 Go en limite d'envoi
- home_pinServeurs en Europe
Source : The Hacker News, Trellix