L’équipe Varonis’ MDDR Forensics a découvert une campagne de phishing ciblant plus de 70 organisations en exploitant la fonctionnalité Direct Send de Microsoft 365. Cette fonctionnalité, conçue pour permettre à des appareils internes comme les imprimantes d’envoyer des emails sans authentification, est détournée par des acteurs malveillants pour usurper des utilisateurs internes et envoyer des emails de phishing sans compromettre de comptes.
La campagne, qui a débuté en mai 2025, cible principalement des organisations basées aux États-Unis. Les attaquants utilisent PowerShell pour envoyer des emails usurpés via le smart host de Microsoft, rendant ces messages difficiles à détecter par les contrôles de sécurité traditionnels. Les emails semblent provenir d’adresses internes légitimes, ce qui leur permet de contourner les mécanismes de filtrage de Microsoft et d’autres solutions de sécurité tierces.
Pour détecter ces abus, il est essentiel d’examiner les en-têtes des messages et les signaux comportementaux, tels que les échecs d’authentification SPF, DKIM ou DMARC, et l’utilisation d’agents utilisateurs en ligne de commande comme PowerShell. Les organisations sont encouragées à activer des protections telles que le rejet de l’envoi direct dans le centre d’administration Exchange et à éduquer les utilisateurs sur les risques associés aux pièces jointes contenant des codes QR.
Cet article est une publication de recherche visant à informer les organisations sur cette méthode d’attaque et à fournir des recommandations pour se protéger contre de telles menaces.
🧠 TTP détectés
TTP
T1566.002 - Spearphishing Link, T1566.001 - Spearphishing Attachment, T1059.001 - PowerShell, T1078 - Valid Accounts, T1588.006 - Vulnerabilities
🔗 Source originale : https://www.varonis.com/blog/direct-send-exploit