Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mêlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accès à distance aux systèmes.
La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hébergés sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sécurité Microsoft et simulent un verrouillage du navigateur.
Les victimes perçoivent des symptômes rappelant un rançongiciel, dont la perte du contrôle de la souris, créant une urgence à appeler des numéros de support frauduleux. Cette interaction permet le vol d’identifiants et l’installation d’outils d’accès à distance via une prétendue assistance technique. Le « verrou » du navigateur peut être contourné en maintenant la touche ESC.
IOCs observés:
- Domaine leurre CAPTCHA: hxxp://amormc[.]com
- Domaine de charge: shilebatablurap[.]highbourg[.]my[.]id
- Hébergement: plages Cloudflare 104[.]21[.]x[.]x
TTPs notables:
- Usurpation de marque (Microsoft) et ingénierie sociale (leurres de remboursement, numéros de support frauduleux)
- Faux CAPTCHA et chaîne de redirections multi-étapes
- Manipulation du navigateur (superpositions, verrouillage simulé, perte du contrôle de la souris)
- Vol d’identifiants et installation d’outils d’accès à distance (RAT)
Type d’article: analyse de menace visant à documenter une campagne active, ses techniques et indicateurs clés 🔎.
🧠 TTPs et IOCs détectés
TTPs
[‘Usurpation de marque (Microsoft)’, ‘Ingénierie sociale (leurres de remboursement, numéros de support frauduleux)’, ‘Faux CAPTCHA’, ‘Chaîne de redirections multi-étapes’, ‘Manipulation du navigateur (superpositions, verrouillage simulé, perte du contrôle de la souris)’, ‘Vol d’identifiants’, ‘Installation d’outils d’accès à distance (RAT)’]
IOCs
[‘hxxp://amormc[.]com’, ‘shilebatablurap[.]highbourg[.]my[.]id’, ‘104[.]21[.]x[.]x’]
🔗 Source originale : https://cofense.com/blog/weaponized-trust-microsoft-s-logo-as-a-gateway-to-tech-support-scams