Vous utilisez le service OneDrive de Microsoft ? Soyez vigilant ! Une campagne de phishing sophistiquée, appelée « OneDrive Pastejacking », tente de tromper les utilisateurs via des e-mails contenant des fichiers HTML malveillants. Voici comment cette attaque fonctionne et comment vous pouvez vous protéger.
Une attaque bien conçue visant votre confiance
Les chercheurs en cybersécurité de Trellix ont récemment découvert une campagne de phishing visant les utilisateurs du service cloud gratuit et payant de Microsoft OneDrive. Nommée « OneDrive Pastejacking », cette attaque utilise des e-mails apparemment légitimes pour vous inciter à exécuter un script PowerShell dangereux.
Le processus commence par la réception d’un e-mail frauduleux contenant un fichier HTML. En ouvrant ce fichier, vous êtes confronté à une fausse page OneDrive affichant un message d’erreur convaincant. Ce message vous pousse à suivre des instructions pour résoudre un soi-disant problème DNS, mais ces actions aboutissent en réalité à l’exécution d’un script PowerShell malveillant à votre insu.
Des leurres visuels et une ingénierie sociale sophistiquée
Cette campagne de phishing se distingue par son haut niveau de sophistication. Les cybercriminels ont soigneusement conçu leur leurre pour le rendre extrêmement convaincant. Le fichier HTML joint à l’e-mail affiche une copie quasi parfaite d’une page OneDrive, renforçant ainsi l’illusion.
Le message d’erreur indique que vous devez mettre à jour votre cache DNS manuellement pour résoudre un problème de connexion. Vous avez alors deux options : « Comment résoudre le problème » et « Détails ». La seconde option vous dirige vers une page Microsoft authentique, augmentant ainsi la crédibilité du leurre. Cependant, en choisissant « Comment résoudre le problème », vous tombez dans le piège. Vous êtes invité à ouvrir PowerShell et à coller une commande codée en Base64. Cette commande, une fois exécutée, télécharge et exécute des fichiers malveillants.
Cette attaque a touché des utilisateurs dans divers pays, notamment aux États-Unis, en Allemagne, en Inde et au Royaume-Uni. Même si la France semble pour l’instant épargnée, la vigilance reste de mise car les attaques de phishing sur OneDrive ne connaissent pas de frontières.
Les mesures de protection à prendre contre le phishing, qu’il s’agisse de services cloud, hébergement web etc
Pour vous protéger contre cette campagne de phishing et d’autres attaques similaires, adoptez quelques réflexes simples mais efficaces. Soyez toujours méfiant envers les e-mails non sollicités, même s’ils semblent provenir de sources fiables telles que Microsoft. Vérifiez attentivement l’adresse de l’expéditeur et évitez de cliquer sur des liens ou d’ouvrir des pièces jointes suspectes.
Si un message vous incite à effectuer une action urgente, prenez le temps de la réflexion et vérifiez directement avec le service concerné en utilisant des canaux de communication officiels. Rappelez-vous que Microsoft ou toute autre entreprise légitime ne vous demandera jamais d’exécuter des commandes PowerShell ou de fournir vos identifiants par e-mail.
Pour renforcer votre sécurité, assurez-vous que votre système d’exploitation et vos logiciels de sécurité sont à jour. Activez l’authentification à deux facteurs sur tous vos comptes importants, y compris OneDrive. Cette mesure simple peut empêcher la plupart des tentatives d’accès non autorisées, même si vos identifiants ont été compromis.
Source : https://www.trellix.com/blogs/research/onedrive-pastejacking/