Une nouvelle campagne de Phishing visant les nouveaux employés cible les identifiants Microsoft 365
5 novembre 2025
Par Rikesh Vekaria, Hiwot Mendahun et l'équipe de recherche sur les menaces de Mimecast
Abonnez-vous pour recevoir des notifications relatives aux menaces
- Campagne de collecte d'identifiants se faisant passer pour des notifications destinées aux nouveaux employés au sein de plusieurs organisations
- Séquence d'attaque en plusieurs étapes utilisant de fausses pages de vérification et des CAPTCHA pour échapper à la détection
- Exploite la plateforme de phishing-as-a-service FlowerStorm, dotée de fonctionnalités « Adversary-in-the-Middle », pour contourner l'authentification à plusieurs facteurs (MFA)
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié une campagne active de collecte d'identifiants utilisant des leurres liés aux ressources humaines, notamment une notification d'intégration d'un nouveau collaborateur, dans le but de dérober des identifiants Microsoft 365. Cette opération utilise des leurres spécifiques à chaque entreprise, faisant référence à de nouveaux employés fictifs qui rejoindraient les organisations ciblées, ce qui crée un sentiment de légitimité qui incite les utilisateurs à interagir. Cette campagne suit un enchaînement d'attaques en plusieurs étapes conçu pour contourner les systèmes de détection automatisés. Les destinataires reçoivent des e-mails annonçant l'arrivée de nouveaux collaborateurs ; le nom de l'entreprise ciblée figure souvent dans l'objet de ces messages afin de renforcer leur crédibilité.
Lorsque les utilisateurs cliquent sur les liens intégrés, ils sont redirigés vers des pages de vérification convaincantes qui affichent des photos de prétendus nouveaux inscrits, ainsi que des tests CAPTCHA conçus pour paraître légitimes tout en empêchant les scanners de sécurité d'accéder à la charge utile finale.
Une fois la procédure de vérification frauduleuse terminée, les victimes sont redirigées vers des pages de Microsoft destinées à récupérer leurs identifiants. Cette infrastructure a été associée à FlowerStorm, une plateforme de « phishing-as-a-service » qui utilise des attaques de type « Adversary-in-the-Middle » (AiTM), spécialement conçues pour récupérer des identifiants et contourner les protections d'authentification multifactorielle.
Cette technique permet aux cybercriminels d'intercepter des jetons d'authentification en temps réel, ce qui leur donne accès à des comptes protégés même lorsque l'authentification multifactorielle (MFA) est activée.
Protection Mimecast
Mimecast a mis en place des capacités de détection renforcées ciblant les techniques spécifiques à cette campagne, notamment l'analyse des fausses implémentations de CAPTCHA.
Indicateurs de compromission (IOC)
Objets courants :
- Bienvenue à notre nouveau collaborateur / [nom]
- [nom de l'entreprise] : Actualité : Nouveau collaborateur / [nom]
Infrastructure de collecte d'identifiants :
- copilotnotewelcomedashboardteamsmst365[.]faraway[.]com[.]de
- https://ctrlcopilotappsmst365[.]gleamed[.]com[.]de
- https://onedriveappsdirectmst365[.]gleamed[.]com[.]de
- http://mailboxselfservicecenter[.]gleamed[.]com[.]de
Objectifs
Plusieurs secteurs semblent concernés, des campagnes montrant qu'il est possible de personnaliser les leurres en y mentionnant le nom d'entreprises spécifiques.
Recommandations
Sensibilisation des utilisateurs à la sécurité :
- Sensibilisez les utilisateurs à la nécessité de vérifier les annonces concernant les nouveaux collaborateurs via les canaux officiels des ressources humaines, plutôt que de cliquer sur les liens contenus dans les e-mails
- Sensibilisez le personnel aux techniques sophistiquées de Phishing utilisant des CAPTCHA et à l'importance de vérifier la légitimité des pages de vérification
- Mener des simulations de Phishing intégrant de nouveaux scénarios d'ingénierie sociale ciblant les nouveaux employés
Recherche de menaces :
- Recherchez dans les journaux des e-mails de confirmation et les journaux d'URL les indicateurs techniques associés à ces campagnes
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!