Ne faites pas confiance à cet e-mail: il pourrait provenir d’un pirate utilisant votre imprimante pour vous arnaquer

Dans la campagne observée par les experts en médecine légale de Varonis, l’attaquant a utilisé PowerShell pour envoyer des e-mails conçus pour ressembler à des notifications de messagerie vocale qui comprenaient une pièce jointe PDF avec un code QR qui a redirigé les utilisateurs vers un site conçu pour récolter les informations d’identification M365.

Les chercheurs de Varonis ont souligné que la campagne fonctionne parce qu’aucune connexion ou information d’identification n’est requise, l’hôte intelligent accepte les e-mails de toute source externe, l’adresse «de» peut être usurpée pour être utilisateur interne, et la seule exigence est que le destinataire est interne à l’organisation client.

De plus, parce qu’il est acheminé via l’infrastructure Microsoft et semble provenir de l’organisation, l’e-mail contourne les contrôles de sécurité traditionnels, y compris les propres mécanismes de filtrage de Microsoft qui le traitent comme des outils internes à interne ou par tiers qui signalent des messages suspects basés sur l’authentification, les modèles de routage ou la réputation de l’expéditeur.