Darktrace identifie une menace par e-mail : usurpation d’identité dans Microsoft Teams

Dan Fein, Director of Email Security Products | jeudi 16 juillet 2020

Avec la transition vers le télétravail, le nombre d’utilisateurs actifs chaque jour sur Microsoft Teams a atteint 75 millions, contre 20 millions à la même époque l’an dernier. On observe des tendances similaires sur Slack, Zoom et Google Meet. Comme ces applications SaaS font aujourd’hui partie de notre quotidien professionnel, il est logique de s’attendre à ce que les cybercriminels commencent à exploiter des identités connues et réputées pour lancer des campagnes d’attaque par e-mail.

En effet, l’IA de Darktrace a détecté une tentative d’attaque de ce type le mois dernier, alors qu’elle était déployée en mode passif au sein d’un conglomérat international. Antigena Email a identifié 48 e-mails entrants prenant l’apparence d’une notification Microsoft Teams, alors qu’ils provenaient en réalité d’un expéditeur inconnu et d’un domaine rare. Ces e-mails contenaient un lien caché vers un site de stockage Google, dissimulé derrière le texte « Accepter la réunion ».

98%
Fri Jun 19 2020, 08:26:42
From:Microsoft Teams <[email protected]>
Recipient:Naomi Kelly <[email protected]>
Teams Message
Email Tags
Suspicious Link
New Contact
Wide Distribution
Actions on Email
Move to Junk
Double Lock Link
Hold Message

Figure 1 : Aperçu interactif de l’interface utilisateur d’Antigena Email

Les liens vers des sites de stockage de fichiers comme ceux-ci sont souvent utilisés car ils évitent le filtrage anti-spam. Même si les liens en tant que tels ne sont pas considérés comme malveillants, ils peuvent tout à fait rediriger vers des fichiers infectés par des malwares ou d’autres contenus dangereux. Cette attaque aurait échappé à un outil traditionnel de sécurité. Cependant, Antigena Email a remarqué dans ce cas que la page semblait héberger une page d’identification Microsoft. Au moment de l’arrivée de l’e-mail, un scan URL n’avait pas identifié ce site comme étant malveillant, mais Antigena Email a reconnu qu’il était très inhabituel qu’un domaine Google héberge une page de connexion Office.

Antigena Email a reconnu qu’il s’agissait d’une tentative de se faire passer pour un service interne dans le but de diffuser des liens de phishing. Il a donc verrouillé le lien en question et empêché les messages d’arriver dans la boîte de réception des destinataires. La capture d’écran ci-dessous donne la liste complète des violations de modèles, ainsi que les mesures respectives prises par l’IA.

Figure 2 : La liste complète des violations de modèles associées à cet e-mail et les mesures prises

Aucun des 48 e-mails n’a été intercepté par les outils de sécurité intégrés de Microsoft, et 12 e-mails ont été ouverts par leur destinataire. De plus, les e-mails ont été envoyés par ordre alphabétique, ce qui suggère que l’attaquant avait peut-être mis la main sur un annuaire d’entreprise. Il aurait probablement continué son attaque en ciblant encore plus d’employés si Antigena Email n’avait pas détecté l’activité malveillante et immédiatement prévenu l’équipe de sécurité.

Ce n’était pas la première fois, et certainement pas la dernière, que des pirates utilisaient des outils de collaboration en SaaS pour inciter les utilisateurs à cliquer sur un lien malveillant. Antigena Email identifie facilement ces comportements, car il constate qu’une marque de confiance est utilisée pour dissimuler un comportement inhabituel et menaçant. Des centaines d’organisations font aujourd’hui confiance à cette technologie d’IA pour mettre en place une stratégie de détection et de réponse plus exhaustive face à ces attaques de plus en plus sophistiquées.

Pour lire une analyse de 13 autres attaques par e-mail, lisez le Rapport sur les menaces et la sécurité e-mail 2020

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.