OneDrive, Sharepoint… danger !
Les services de partage de fichiers comme Sharepoint, OneDrive, GDrive ou Dropbox dans le collimateur des cybercriminels. Proofpoint inquiet.
Au cours du premier semestre 2020, Proofpoint a détecté 5,9 millions d’e-mails contenant des liens SharePoint Online et OneDrive malveillants. Alors que ces messages représentaient environ 1% de l’échantillon total de messages contenant des URL malveillantes, ils représentaient plus de 13 % des clics des utilisateurs. Les utilisateurs étaient quatre fois plus susceptibles de cliquer sur des liens SharePoint malveillants et onze fois plus susceptibles de cliquer sur des liens OneDrive malveillants…
En exploitant la façon dont les employés travaillent comme le partage de fichiers, les attaques peuvent être plus efficaces que jamais. En fait, les recherches de Proofpoint montrent que les utilisateurs sont sept fois plus susceptibles de cliquer sur des liens SharePoint Online et OneDrive malveillants hébergés sur des domaines Microsoft légitimes.
Tout commence avec un compte Office 365 compromis
Proofpoint a également découvert que ces messages étaient distribués par plus de 5 500 locataires compromis, qui représentent une grande partie de la base de clients d’entreprise de Microsoft. Une forme de cyberattaque aussi répandue et efficace mérite d’être examinée de plus près.
Le phishing sur SharePoint commence généralement par un compte Office 365 compromis. Une fois en possession du contrôle du compte, l’attaquant charge un fichier malveillant sur Sharepoint et place les autorisations de partage du fichier en «Public» afin que le nouveau lien (de partage) anonyme puisse être partagé avec n’importe qui.
L’attaquant peut ensuite envoyer le lien par email ou le partager avec les contacts de l’utilisateur. C’est en ouvrant le fichier et en cliquant sur le lien malveillant intégré que le piège se referme (éventuellement la diffusion d’un ransomware ou l’installation d’un malware, mais le plus souvent une redirection vers une page de phishing).
D’un espace de partage à l’autre
La plupart des attaques sont souvent destinées à des déplacements latéraux au sein de l’espace de l’entreprise, donc de son tenant. Mais Proofpoint a aussi observé des attaquants hébergeant du contenu malveillant dans un seul tenant tout en utilisant un compte compromis comme celui d’un VIP dans un autre tenant.
Partager le lien malveillant à partir du compte d’un utilisateur plus élevé dans la hiérarchie augmenterait les chances de succès des attaquants. En outre, même si le compte compromis dans le deuxième tenant est découvert, le fichier malveillan