Campagne d’hameçonnage via des partages de fichiers SharePoint

  • Auteur/autrice de la publication :

Origine : bjCSIRT

Numéro : 2026/ALERTE/008

APERÇU :

Une nouvelle technique d’hameçonnage récemment observée permettrait à des acteurs malveillants de récupérer les informations de connexion à la messagerie de cederniers. 

DESCRIPTION :

Des liens de partage SharePoint légitimes sont utilisés pour tromper les utilisateurs afin de les rediriger vers un faux site d’authentification et collecter leurs identifiants de connexion. 

La tentative d’hameçonnage débute par la réception d’un lien de partage SharePoint invitant l’utilisateur à consulter un fichier. En accédant à ce lien, l’utilisateur est invité à saisir son adresse électronique, puis à entrer un code OTP reçu dans sa boîte de messagerie, renforçant ainsi la crédibilité du processus. Une fois que l’accès au fichier est obtenu, celui-ci contient un second lien redirigeant vers une fausse page de connexion Microsoft, où l’utilisateur est invité à saisir son mot de passe de connexion Microsoft, lequel est récupéré par les acteurs malveillants. Après la saisie d’un mot de passe valide, l’utilisateur est automatiquement redirigé vers le site Twitter. Les acteurs malveillants récupèrent ainsi les identifiants de connexion de l’utilisateur et peuvent accéder à sa boîte de messagerie, et effectuer ainsi d’autres activités malveillantes. 

IMPACT

  • Atteinte à la confidentialité des données ;
  • Atteinte à l’intégrité des données ;
  • Vol d’informations sensibles.

INDICATEURS DE COMPROMISSION : 

  • alrci[.]mspfzcorel[.]name 
  • hxxps[://]mspfzcorel[.]name?HeLlrAog&sa=D&sntz=1&usg=AOvVaw1dSgeQPOQoukXBg6pZwdkQ#?1187507008Family=. 
  • nrqmhd[.]mspfzcorel[.]name 

MESURES À PRENDRE :

  • Vérifier l’expéditeur d’un mail avant toute prise d’action ;  
  • Eviter de cliquer sur des liens suspects dans les mails reçus ; 
  • Vérifier systématiquement les URLs des pages de connexion avant de saisir les identifiants de connexion ; 
  • Bloquer les URLs et domaines associés à cette campagne d’hameçonnage ; 
  • Mettre en place dans la mesure du possible la double authentification pour l’accès au compte de messagerie.