Des adresses mail appartenant à Kaspersky ont été utilisées dans le cadre d'une campagne de phishing à cause d'un jeton Amazon SES volé.
Les attaquants n'ont cependant pas tenté de se faire passer pour l'entreprise, préférant une autre méthode pour piéger leurs victimes.
Le jeton volé avait été émis pour un prestataire
Dans un avis publié sur son site, Kaspersky a prévenu de l'existence d'une campagne de phishing. La particularité de cette campagne, dont le but est de voler des identifiants Office 365, est que des adresses mail de Kaspersky ont été utilisées pour envoyer les mails malveillants. Cependant, aucun employé de l'entreprise n'est à l'origine de ces messages.
D'après la firme, un jeton Amazon SES a été volé, ce qui a permis aux hackers d'envoyer des e-mails à partir d'adresses comme noreply@sm.kaspersky.com. Amazon SES est une solution d'e-mails pour permettre aux développeurs d'envoyer des messages à partir de n'importe quelle application. Elle est par exemple utilisée pour envoyer des messages transactionnels ou marketing, ou des annonces. Le jeton volé aurait été émis pour un prestataire tiers pour le test du site 2050.earth.
Aucune activité malveillante supplémentaire détectée
Malgré cette utilisation d'adresses mail de Kaspersky, les attaquants n'ont pas tenté de se faire passer pour l'entreprise. À la place, ils ont opté pour des e-mails laissant croire à des notifications de fax manqués pour pousser les victimes à cliquer sur le lien et à entrer leurs identifiants Office 365. Cependant, l'obtention de ce jeton leur a permis de contourner les protections anti-spam et anti-phishing et à donner un sentiment de légitimité à leurs e-mails.
Kaspersky a indiqué qu'aucun serveur ni base de données n'avaient été compromis, et qu'aucune autre activité malveillante n'avait été détectée. Le jeton a été révoqué dès que l'entreprise a eu connaissance des tentatives de phishing. D'après ses analyses, plusieurs groupes seraient derrière cette campagne et utiliseraient deux kits de phishing, iamtheboss et MIRCBOOT.
L'entreprise en profite pour rappeler aux utilisateurs de se méfier des e-mails leur demandant de se connecter ou de fournir leurs identifiants, même lorsque ceux-ci semblent provenir d'une adresse légitime, comme c'est le cas ici.
Sources : BleepingComputer, Kaspersky
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
