Des adresses mail de Kaspersky utilisées dans une campagne de phishing

Publié le 02 novembre 2021 à 16h46

Des adresses mail appartenant à Kaspersky ont été utilisées dans le cadre d'une campagne de phishing à cause d'un jeton Amazon SES volé.

Les attaquants n'ont cependant pas tenté de se faire passer pour l'entreprise, préférant une autre méthode pour piéger leurs victimes.

Le jeton volé avait été émis pour un prestataire

Dans un avis publié sur son site, Kaspersky a prévenu de l'existence d'une campagne de phishing. La particularité de cette campagne, dont le but est de voler des identifiants Office 365, est que des adresses mail de Kaspersky ont été utilisées pour envoyer les mails malveillants. Cependant, aucun employé de l'entreprise n'est à l'origine de ces messages.

D'après la firme, un jeton Amazon SES a été volé, ce qui a permis aux hackers d'envoyer des e-mails à partir d'adresses comme [email protected]. Amazon SES est une solution d'e-mails pour permettre aux développeurs d'envoyer des messages à partir de n'importe quelle application. Elle est par exemple utilisée pour envoyer des messages transactionnels ou marketing, ou des annonces. Le jeton volé aurait été émis pour un prestataire tiers pour le test du site 2050.earth.

Aucune activité malveillante supplémentaire détectée

Malgré cette utilisation d'adresses mail de Kaspersky, les attaquants n'ont pas tenté de se faire passer pour l'entreprise. À la place, ils ont opté pour des e-mails laissant croire à des notifications de fax manqués pour pousser les victimes à cliquer sur le lien et à entrer leurs identifiants Office 365. Cependant, l'obtention de ce jeton leur a permis de contourner les protections anti-spam et anti-phishing et à donner un sentiment de légitimité à leurs e-mails.

Kaspersky a indiqué qu'aucun serveur ni base de données n'avaient été compromis, et qu'aucune autre activité malveillante n'avait été détectée. Le jeton a été révoqué dès que l'entreprise a eu connaissance des tentatives de phishing. D'après ses analyses, plusieurs groupes seraient derrière cette campagne et utiliseraient deux kits de phishing, iamtheboss et MIRCBOOT.

L'entreprise en profite pour rappeler aux utilisateurs de se méfier des e-mails leur demandant de se connecter ou de fournir leurs identifiants, même lorsque ceux-ci semblent provenir d'une adresse légitime, comme c'est le cas ici.

Sur le même sujet :
Les campagnes de phishing utilisent un nouvel outil pour éviter la détection : les symboles mathématiques

Sources : BleepingComputer, Kaspersky

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (3)

Orko

Merci pour cet article, j’ai beaucoup aimé le lire.

LeToi

Client Kaspersky je n’ai rien reçu, je suppose que c’était assez ciblé

bossay

Il n’y a pas eu de vol de données de Kaspersky mentionné dans l’article. Donc a priori, ton adresse e-mail n’est pas connue des pirates.