Campagne de phishing Mimecast
18 mars 2025
Par Rikesh Vekaria et l'équipe de recherche sur les menaces de Mimecast
Ce que vous apprendrez dans cette notification
- Campagne usurpant l'identité de Mimecast et d'autres marques
- Ciblant principalement le secteur immobilier aux États-Unis
- Utilise des redirections via divers liens réécrits par les systèmes de sécurité des e-mails pour rediriger vers une page destinée à la collecte d'identifiants
"Rikesh Vekaria et les chercheurs en cybersécurité de Mimecast ont récemment identifié une campagne de phishing visant à dérober des identifiants et utilisant la marque Mimecast. Les cybercriminels utilisent des messages sécurisés soigneusement conçus, provenant de l'adresse "" , afin de faire croire aux destinataires que ces e-mails sont légitimes et qu'ils concernent des communications sécurisées.
Ces campagnes utilisent des modèles comportant les logos de Mimecast ainsi que ceux d'autres entreprises afin de renforcer leur authenticité, mais elles incluent toujours la mention légale de Mimecast au bas de l'e-mail afin de tromper davantage la cible. Les agences immobilières semblent constituer une cible privilégiée de cette campagne, car elles ont l'habitude de recevoir des Secure Messaging par e-mail. Cette familiarité augmente les chances de succès de la campagne, car les destinataires peuvent être plus enclins à faire confiance à des communications qui ressemblent à des messages légitimes et sécurisés, et à y donner suite.
Nous avons identifié l'utilisation de diverses tactiques visant à tromper les utilisateurs finaux et à contourner les filtres de sécurité, dont l'une consiste à utiliser des liens modifiés provenant de fournisseurs de solutions de sécurité pour les e-mails afin de rediriger les utilisateurs vers des pages de Phishing. Mimecast a constaté l'utilisation de cette méthode dans plusieurs campagnes étudiées en 2024. Pour en savoir plus sur les techniques utilisées ici.
Dès que les utilisateurs cliquent sur ces liens, ils sont redirigés vers une page qui ressemble fortement à la page de connexion officielle de Microsoft.
Cette campagne a été observée pour la première fois début février et se déroule à un rythme relativement faible tout au long de la semaine, avec une pause le week-end. Au cours des deux dernières semaines, 18 000 détections visant principalement le secteur immobilier ont été recensées.
Objectifs:
États-Unis, Immobilier
CIO :
Modèle de sujet ;
_____[NomDeL'Entreprise] Message sécurisé destiné à r*****s@[domaineDeL'Entreprise] #Ref-[caractères aléatoires]
Page finale de Phishing ;
24editor[.]com/0ffice-msoft/cloud-mail/
Recommandations
- Assurez-vous que la politique « URL Protect » est configurée pour protéger l'organisation.
- Parcourez vos journaux de réception des e-mails afin de déterminer si des messages présentant des objets similaires ont été envoyés à vos utilisateurs.
- Vérifiez vos journaux de Web Security afin de déterminer si des utilisateurs ont accédé à la page finale de Phishing
- Par mesure de précaution, réinitialisez les mots de passe de tous les utilisateurs concernés
- Sensibiliser les utilisateurs finaux aux risques liés à l'utilisation abusive des services de confiance