Selon Push (recherche signée par Luke Jennings), une campagne de phishing exploite un tenant Microsoft configuré avec ADFS et de la malvertising pour obtenir des redirections légitimes depuis outlook.office.com vers une page de phishing Microsoft clonée en reverse‑proxy.

• Le kit observé est un classique de type Attacker‑in‑the‑Middle (AitM) clonant la page de connexion Microsoft afin d’intercepter la session et contourner la MFA. L’originalité ne vient pas de la page mais de la chaîne de redirections et de l’évasion de détection.

• Le vecteur de départ est de la malvertising Google Ads : un utilisateur cherchant “Office 265” clique une annonce menant à un lien outlook.office.com porteur de paramètres publicitaires. Microsoft redirige ensuite vers un domaine ADFS contrôlé par l’attaquant, ce qui équivaut à un open redirect opéré via l’implémentation ADFS du tenant malveillant (technique rapprochée de « SAMLjacking », surnommée ici « ADFSjacking »).

• Un domaine intermédiaire factice (bluegraintours[.]com) est inséré dans le chemin d’URL pour influencer la catégorisation (ex. « blog voyage ») et casser les analyses automatisées. Le kit applique aussi une “conditional loading” : si les conditions ne sont pas réunies (cible non valide), l’utilisateur est renvoyé vers office.com, rendant la reproduction complète du flux difficile.

• Push insiste que ce n’est pas une vulnérabilité au sens strict, mais une capacité préoccupante d’abus de services Microsoft légitimes rendant les détections basées sur l’URL encore plus ardues. La livraison via services tiers de confiance et malvertising permet de contourner les contrôles email et de camoufler la chaîne d’attaque.

• Recommandations de détection (extraites de l’article) :

  • Surveiller dans les journaux proxy les redirections ADFS (ex. login.microsoftonline.com → autre domaine avec « /adfs/ls/ »).
  • Surveiller les redirections Google vers office.com comportant des paramètres d’annonce (détection du couple malvertising + ADFS).
  • Déployer des bloqueurs de publicité sur les navigateurs pour réduire l’exposition à la malvertising (avec la réserve que d’autres vecteurs subsistent).

IOCs

  • bluegraintours[.]com (site factice utilisé dans le chemin d’URL)
  • login-microsoftonline[.]offirmtm[.]com (domaine d’hameçonnage imitant Microsoft)

TTPs

  • 🎯 AitM via reverse‑proxy pour vol de session et bypass MFA
  • 🔗 Abus d’ADFS d’un tenant Microsoft pour forcer la redirection légitime (open‑redirect‑like), proche de SAMLjacking (« ADFSjacking »)
  • 📣 Malvertising Google Ads menant à outlook.office.com avec paramètres de tracking
  • 🕵️ Évasion : domaine factice pour catégorisation bénigne, conditional loading bloquant l’analyse

Type d’article : analyse technique orientée menace et détection, issue d’un teardown de kit de phishing, visant à illustrer les méthodes d’évasion et des pistes de détection.

🧠 TTPs et IOCs détectés

TTP

[‘AitM via reverse-proxy pour vol de session et bypass MFA’, ‘Abus d’ADFS d’un tenant Microsoft pour forcer la redirection légitime (open-redirect-like), proche de SAMLjacking (ADFSjacking)’, ‘Malvertising Google Ads menant à outlook.office.com avec paramètres de tracking’, ‘Évasion : domaine factice pour catégorisation bénigne, conditional loading bloquant l’analyse’]

IOC

[‘bluegraintours[.]com’, ’login-microsoftonline[.]offirmtm[.]com’]

🔗 Source originale : https://pushsecurity.com/blog/phishing-with-active-directory-federation-services/