Selon Cofense Phishing Defense Center (PDC), des acteurs menaçants mènent de nouvelles campagnes de phishing en usurpant des invitations Microsoft et Google Calendar afin de dérober des identifiants, avec redirections vers de faux portails Microsoft et des indicateurs de compromission listés.

  • Les attaquants recourent à l’usurpation d’adresse e-mail (spoofing) et à des invitations de calendrier factices imitant les designs Microsoft/Google (couleurs, boutons Outlook, format d’invitation). Des différences légères dans le domaine (ex. « Micr0soft ») ou un expéditeur « postmaster@ » falsifié sont utilisées pour paraître légitimes. Des éléments d’ingénierie sociale comme l’urgence (mot « deadline ») et des adresses expéditeur aléatoires servent à contourner les filtres et pousser au clic. ⚠️

  • Après clic sur le bouton ou le lien, la victime est redirigée vers une page de phishing affichant une fausse page de connexion Microsoft sur un domaine non Microsoft, où la saisie des identifiants entraîne leur compromission. Dans la variante Google Calendar, malgré l’apparence Google, le lien redirige aussi vers une page Microsoft (Figure 4), ce que Cofense indique comme pouvant suggérer une compromission d’e-mails d’entreprise pour des campagnes ultérieures.

  • Le PDC souligne que ces campagnes exploitent la popularité des invitations calendrier en environnement corporate pour dérober des informations sensibles si les utilisateurs ne vérifient pas l’authenticité des messages. Cofense conclut en rappelant l’importance de la vigilance et met en avant ses Managed Phishing Defense Services. 🎯

IOC (indicateurs de compromission)

  • Stage 1 – Infection URL:
    • hXXps://a[.]insgly[.]net/api/trk?id=emailclick&i=660735&eid=156538024&url=hXXps://abramge[.]com[.]br/drive/itpresented
    • hXXps://(redacted)[.]oceanlist[.]net/?&em=
  • Stage 1 – IPs:
    • 18[.]160[.]10[.]68, 18[.]160[.]10[.]70, 18[.]160[.]10[.]51, 18[.]160[.]10[.]72, 172[.]67[.]196[.]105, 104[.]21[.]21[.]48
  • Stage 2 – Payload URLs:
    • hXXps://amasorightdropwaysinboxonline[.]conveyed[.]it[.]com/a8pqN/?e=
    • hXXps://abramge[.]com[.]br/drive/itpresented//
    • hXXps://6612271478[.]sbs/google[.]php
    • hXXps://135947[.]lachinadragon[.]com/?
    • hXXps://itsleannepelosi[.]com/?sjzkrkrp
    • hXXps://d60c1a[.]startprogrammingnowbook[.]com/?auth=2&qrc=ZWxzLmZ&sso_reload=true
  • Stage 2 – IPs:
    • 69[.]49[.]231[.]24, 162[.]214[.]112[.]174, 104[.]21[.]1[.]173, 172[.]67[.]129[.]169, 185[.]208[.]158[.]92

TTPs observés

  • Usurpation d’e-mail (spoofing) et légères variations de domaines
  • Imitation visuelle de Microsoft Outlook/Google Calendar (couleurs, boutons)
  • Ingénierie sociale: urgence (« deadline »), familiarité, expéditeurs aléatoires
  • Redirections vers des domaines non Microsoft hébergeant des pages de credential harvesting
  • Utilisation de liens intégrés et de boutons pour maximiser le taux de clics

Type d’article: Analyse de menace décrivant des campagnes de phishing en cours, avec publication d’IOCs et mise en avant de services de défense.

🧠 TTPs et IOCs détectés

TTP

[‘Usurpation d’e-mail (spoofing) et légères variations de domaines’, ‘Imitation visuelle de Microsoft Outlook/Google Calendar (couleurs, boutons)’, ‘Ingénierie sociale: urgence (« deadline »), familiarité, expéditeurs aléatoires’, ‘Redirections vers des domaines non Microsoft hébergeant des pages de credential harvesting’, ‘Utilisation de liens intégrés et de boutons pour maximiser le taux de clics’]

IOC

{‘urls’: [‘hXXps://a[.]insgly[.]net/api/trk?id=emailclick&i=660735&eid=156538024&url=hXXps://abramge[.]com[.]br/drive/itpresented’, ‘hXXps://(redacted)[.]oceanlist[.]net/?&em=’, ‘hXXps://amasorightdropwaysinboxonline[.]conveyed[.]it[.]com/a8pqN/?e=’, ‘hXXps://abramge[.]com[.]br/drive/itpresented//’, ‘hXXps://6612271478[.]sbs/google[.]php’, ‘hXXps://135947[.]lachinadragon[.]com/?’, ‘hXXps://itsleannepelosi[.]com/?sjzkrkrp’, ‘hXXps://d60c1a[.]startprogrammingnowbook[.]com/?auth=2&qrc=ZWxzLmZ&sso_reload=true’], ‘ips’: [‘18[.]160[.]10[.]68’, ‘18[.]160[.]10[.]70’, ‘18[.]160[.]10[.]51’, ‘18[.]160[.]10[.]72’, ‘172[.]67[.]196[.]105’, ‘104[.]21[.]21[.]48’, ‘69[.]49[.]231[.]24’, ‘162[.]214[.]112[.]174’, ‘104[.]21[.]1[.]173’, ‘172[.]67[.]129[.]169’, ‘185[.]208[.]158[.]92’]}

🔗 Source originale : https://cofense.com/blog/invitation-to-trouble-the-rise-of-calendar-phishing-attacks