Publicité en cours de chargement...
Étude de cas : une campagne de phishing bien pensée
Tout commence avec une messagerie Office 365 d’un établissement de santé compromise et utilisée par les attaquants pour diffuser un lien web à l’ensemble des contacts de la victime.
Le message est succin mais propre et provient d’une messagerie légitime et connue, de quoi éviter de trop éveiller les soupçons des destinataires.
Le lien pointe vers une page hébergée sur un CRM gratuit et non directement vers OneDrive comme annoncé, mais la page est assez propre et reprend les informations relatives à l’identité du propriétaire de la messagerie compromise.
Il est donc assez tentant de cliquer, surtout que le lien pointe vers le domaine windows.net, un domaine légitime appartenant à Microsoft.
La victime se retrouve donc sur une belle copie de la page d’authentification Microsoft, hébergée sur un serveur Azure, avec une URL qui reprend le terme « fondation », un nom de domaine appartenant à Microsoft (windows.net) et un certificat TLS fourni par Microsoft.
On peut difficilement faire mieux en termes de crédibilité ! Un utilisateur même averti peut très facilement se faire piéger !
Même en saisissant une adresse de messagerie qui ne pourrait pas être enregistrée sur un compte Microsoft, à partir du moment où la structuration de l’adresse est respectée, ça passe !
Avant d’être renvoyée sur le site office.com, les informations de connexion de la victime sont récupérées par les attaquants et un message rassurant est affiché à l’écran.
Si l’on regarde le code source de la page, on retrouve le lien vers la page PHP utilisée par les attaquants pour récupérer l’identifiant et le mot de passe de la victime.
En s’intéressant au serveur qui héberge cette page, on observe sur Virus Total que son adresse IP est apparue dans une liste d’indicateurs de compromission en lien avec Emotet.
Est-ce le même groupe d’attaquants qui se cache derrière cette campagne de phishing ?
Le but était-il de disposer de nouvelles messageries pouvant permettre de cibler des établissements plus importants et pour lesquels il serait intéressant de distribuer de l’Emotet et plus si affinité ?
Cette technique nous rappelle à quel point la détection d’une attaque de type phishing n’est pas la chose la plus aisée ! Alors n’hésitons pas à rappeler les bonnes pratiques, sensibiliser, se sensibiliser et se challenger régulièrement. Restons #TOUSCYBERVIGILANTS.
https://malware-research.org/simple-rule-to-protect-against-spoofed-windows-net-phishing-attacks/
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS(Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.