Les chercheurs de la société Proofpoint, spécialiste dans les domaines de la cybersécurité et de la conformité, révèlent aujourd’hui comment certains cybercriminels ont pu infiltrer les environnements cloud d’entreprises basées au Royaume-Uni, et ce en utilisant de fausses applications malveillantes.
Tribune – En décembre, des acteurs de la menace auraient réussi à exploiter la fonction « vérification de l’éditeur » de Microsoft. En se faisant passer pour des applications légitimes, les criminels seraient parvenu à inciter certains utilisateurs à autoriser ces applications en réalité malveillantes.
Les principaux résultats des recherches Proofpoint sont les suivant :
- Les acteurs de la menace ont réussi à contourner les restrictions de Microsoft et devenir légitimement « vérifiés ».
- Dans un exemple, les acteurs de la menace ont créé une application appelée “Meeting” en utilisant une icône Zoom similaire et un domaine Zoom légitime pour augmenter leur crédibilité.
- Proofpoint a détecté de nombreux utilisateurs, notamment des cadres supérieurs du secteur de la finance ou du marketing, qui ont autorisé ces applications malveillantes, compromettant ainsi tout l’environnement de leur organisation.
- Une fois autorisées sur les systèmes utilisateurs, les applications malveillantes auraient permis d’exfiltrer des données, de détourner l’usage de la marque des organisations visées, et de modifier la délégation des droits sur les boîtes de messagerie, les calendriers et les réunions des utilisateurs compromis.
Proofpoint renforce la sécurité de Microsoft et protège les clients en détectant les vulnérabilités avant qu’elles ne puissent causer des dommages. Après enquête, Microsoft a désactivé toutes les applications frauduleuses et a informé les clients concernés.