Les alertes Microsoft Azure Monitor sont actuellement détournées par les pirates informatiques pour tenter de piéger les entreprises en leur faisant croire à une activité suspecte ou à un défaut de paiement sur leur compte. Voici ce que l’on sait sur cette campagne de callback phishing.

Les attaques de type “callback phishing” consistent à inciter la victime à effectuer un rappel téléphonique, c’est-à-dire à prendre contact avec l’attaquant. Une campagne de ce type utilise l’infrastructure cloud de Microsoft pour tromper la vigilance des utilisateurs et passer sous les radars de la plupart des solutions antispam. La raison : les e-mails sont légitimes et passent les tests de validation (SPF, DKIM, etc.)

Comment fonctionne cette attaque via Azure Monitor ?

Plutôt que de falsifier un e-mail de toutes pièces et de tenter de reproduire l’esthétique des e-mails des alertes Azure Monitor, les attaquants ont fait autrement : détourner Azure Monitor. Ils s’appuient sur une souscription Azure (volée ou créée avec de fausses informations) pour générer des alertes personnalisées via le service Azure Monitor.

Voici comment ils procèdent pour envoyer leurs alertes :

• Création d’une règle d’alerte : les cybercriminels configurent une fausse alerte au sein de leur portail Azure (en la nommant, par exemple, “Microsoft Billing Statement Ready” avec un niveau de sévérité élevé).
• Intégration d’un message “trompeur” : dans la description de la règle, ils rédigent un message trompeur indiquant un prélèvement, une facture impayée ou une activité suspecte sur le tenant. Ce message inclut un numéro de téléphone de support à contacter en urgence pour annuler la transaction. C’est en réalité le numéro des attaquants.
• Ajout des cibles : les adresses e-mail des victimes sont ajoutées en tant que destinataires.
• Déclenchement : les pirates déclenchent volontairement l’alerte, de façon à ce que les serveurs de Microsoft envoient la notification à toutes les adresses renseignées.

Cette technique permet de renforcer la crédibilité puisque l’alerte est expédiée depuis la véritable adresse : [email protected]. L’adresse n’est pas usurpée, cet e-mail est réellement envoyé par les serveurs de Microsoft.

Ce qui change avec cette méthode

Cette méthode basée sur les alertes Azure Monitor est différente de la majorité des e-mails de phishing. Ici, pas de lien vers un site web malveillant, et surtout un e-mail envoyé de façon légitime. L’unique piège se situe dans la description de la règle. Voici d’ailleurs un exemple relayé par BleepingComputer.

Étant donné que l’e-mail est réellement expédié par les serveurs légitimes de Microsoft, il passe toutes les vérifications d’authentification classiques (SPF, DKIM, et DMARC). Cela signifie qu’il peut passer entre les mailles du filet de votre filtre antispam, car en effet, cet e-mail a tout pour plaire !

Par ailleurs, en s’appuyant sur le “Callback Phishing”, les pirates n’intègrent aucun lien frauduleux dans l’e-mail. C’est donc un autre signal positif envoyé au moteur d’analyse des flux de messagerie : l’e-mail ne contient pas de lien pouvant laisser entendre qu’il s’agit d’un e-mail malveillant. Le piège réside dans le numéro de téléphone spécifié dans l’e-mail : les victimes sont incitées à appeler ce numéro pour en savoir plus sur l’alerte.

Une fois la victime au téléphone, l’attaquant va chercher à la manipuler (ingénierie sociale) pour voler des identifiants, des informations bancaires, ou la guider vers l’installation d’un malware de type RAT (accès à distance).

Cette menace est l’occasion de rappeler qu’en cas de doute concernant la facturation d’un service Microsoft, rendez-vous manuellement sur le portail officiel pour le vérifier via votre compte directement.