Campagne de Phishing visant à dérober des identifiants sous le couvert de Microsoft Teams, exploitant des ressources de formation légitimes
2 mars 2026
Par l'équipe de recherche sur les menaces de Mimecast
- Campagne de collecte d'identifiants se faisant passer pour des notifications de tâches de Microsoft Teams
- Utilisation du service d'envoi d'e-mails SendGrid et des ressources du modèle de formation à la sécurité CanIPhish
- Plus de 9 000 cas recensés entre janvier et février 2026
- Des organisations basées aux États-Unis, actives dans divers secteurs d'activité, notamment la finance, les services professionnels, l'industrie manufacturière et la santé
- Vol d'identifiants par le biais de fausses notifications de tâches
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié une campagne de Phishing visant à dérober des identifiants, qui utilise à des fins malveillantes des supports de formation légitimes destinés à sensibiliser aux questions de sécurité. Des cybercriminels ont modifié des modèles de simulation de Phishing accessibles au public sur CanIPhish, une plateforme légitime de formation à la sécurité, afin de créer des leurres convaincants sur le thème de Microsoft Teams ciblant les utilisateurs professionnels.
Chaîne d'attaques
La campagne repose sur une approche en plusieurs étapes visant à tirer parti de la confiance que les utilisateurs accordent aux outils de communication professionnels qu'ils connaissent bien :
1. Envoi initial : les e-mails sont diffusés via l'infrastructure de SendGrid à l'aide de comptes piratés
2. Piège d'ingénierie sociale : les destinataires reçoivent ce qui semble être une notification Microsoft Teams concernant une tâche qui leur a été attribuée, consistant à examiner un rapport sur l'ancienneté des créances ( "Aging Report)" lié aux comptes fournisseurs ou à la documentation financière.
3. Utilisation abusive de modèles : des cybercriminels se sont procuré des modèles HTML à partir des exemples de simulation de Phishing accessibles au public sur le site CanIPhish. Ces modèles, initialement conçus pour des formations à la sécurité, ont été modifiés afin de :
- Remplacez les URL de simulation par le domaine malveillant destiné à la collecte d'identifiants
- Personnalisez les noms des entreprises et les coordonnées des destinataires pour les organisations ciblées
Les modèles modifiés conservent les références au compartiment AWS S3 de CanIPhish pour les ressources graphiques (https://caniphish.s3.ap-southeast-2.amazonaws.com/), renforçant encore davantage l'impression de légitimité.
" 4. Capture des identifiants : les utilisateurs qui cliquent sur les boutons « "» (Ouvrir dans Teams), «" » (Ouvrir dans Teams) ou « "» (Ouvrir dans un navigateur) sont redirigés vers la page ci-dessous, où ils doivent cliquer sur un autre lien pour ouvrir le fichier.
5.Page de CAPTCHA « » : dès que l'utilisateur clique sur le lien, il est redirigé vers une page de CAPTCHA où il doit confirmer qu'il est bien un utilisateur humain. Une fois le captcha résolu, une page de connexion Microsoft s'affichera, et c'est à ce moment-là que l'auteur de l'attaque récupérera les identifiants.
Cibles et régions
Répartition géographique
- Cible principale : États-Unis (plus de 95% s des campagnes observées)
- Cibles secondaires : quelques cas isolés visant le Royaume-Uni, l'Allemagne, le Canada et l'Australie
Indicateurs de compromission (IOC)
Infrastructure SendGrid :
- u58401087.ct.sendgrid.net (domaine de suivi)
URL malveillantes
- mstexcelauthcopilot[.]powerappsportals[.]com
Objets courants
- [Nom de l'entreprise] : Directeur financier / Rapport sur l'ancienneté des créances (janvier - février 2026)
- [Nom de l'entreprise] : Rapport sur les créances et leur ancienneté (janvier - février 2026)
- Rapport de [Nom de l'entreprise] / Échéancier (janvier 2025)
- Rapport sur les services financiers de [Nom de l'entreprise] / Échéancier (janvier 2025)
Modèle : les objets des e-mails sont personnalisés en indiquant le nom de l'organisation ciblée, suivi de
Protection Mimecast
Mimecast a mis en place plusieurs niveaux de détection afin d'identifier et de bloquer cette campagne. Notre équipe chargée du renseignement sur les menaces continue de surveiller cette campagne et mettra à jour les détections à mesure que les auteurs de ces menaces modifieront leurs tactiques.
Recommandations
Formation à la sensibilisation à la sécurité destinée aux utilisateurs
- Sensibilisez vos collaborateurs aux caractéristiques spécifiques de cette campagne, notamment le leurre lié au rapport sur le vieillissement et l'usurpation d'identité via Microsoft Teams
- Formez le personnel à vérifier les missions inattendues par le biais de canaux de communication distincts avant de cliquer sur des liens
- Insistez sur la vérification de l'authentification : les utilisateurs doivent toujours vérifier la barre d'adresse avant de saisir leurs identifiants. Les pages de connexion Microsoft légitimes utilisent les domaines login.microsoftonline.com ou login.microsoft.com, et non des variantes de powerappsportals.com.
Recherche proactive des menaces
- Recherchez dans les journaux de réception des e-mails les messages provenant de Sendgrid et dont l'objet correspond à ceux indiqués
Contexte supplémentaire
Cette campagne s'inscrit dans une tendance plus générale qui voit les auteurs de menaces exploiter des services légitimes, tels que les plateformes d'envoi d'e-mails et les ressources de formation à la sécurité accessibles au public, afin de renforcer la crédibilité de leurs attaques. Une telle exploitation met en évidence la nécessité de protéger les supports de formation et les plateformes de confiance afin d'éviter qu'ils ne soient utilisés à des fins malveillantes.
Suite à l'identification de cette menace, Mimecast a travaillé en étroite collaboration avec CanIPhish afin de mettre en place des mesures de protection visant à réduire le risque d'utilisation abusive de ses ressources, démontrant ainsi l'importance de la collaboration et du partage d'informations au sein de la communauté de la sécurité pour lutter efficacement contre les menaces émergentes.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!