Un nouvel outil de phishing aide les criminels à voler les mots de passe Microsoft 365 des utilisateurs du monde entier. La société de sécurité KnowBe4 a dévoilé le service, nommé « Quantum Route Redirect ».
Il contourne les filtres de messagerie en leur montrant des pages Web sécurisées. Les utilisateurs humains, cependant, sont envoyés vers de faux sites de connexion qui capturent leurs informations. Active dans 90 pays, cette méthode a la plupart de ses cibles aux États-Unis. Les experts affirment que l’outil donne des armes puissantes aux attaquants moins qualifiés, ce qui permet à quiconque de commettre plus facilement des cybercrimes graves.
Threat Labs de KnowBe4 a identifié pour la première fois la campagne début août, en observant une opération sophistiquée ciblant les informations d’identification Microsoft 365 avec divers leurres.
Les attaquants usurpent l’identité de services comme DocuSign, envoyez de faux avis de paie ou utilisez des codes QR dans des attaques de type « quishing » pour diriger les victimes vers leurs pages de collecte d’informations d’identification. Un moteur puissant travaillant en coulisses constitue le fil conducteur.
Découvrez la redirection de route quantique : le phishing rendu facile
En automatisant les mécanismes complexes d’évasion, le nouvel outil rationalise ce qui était autrefois un processus techniquement exigeant. Sa fonction principale est un système de filtrage intelligent qui fait la distinction entre les scanners de sécurité automatisés et les victimes humaines potentielles.
Lorsqu’un outil de sécurité analyse un lien dans un e-mail de phishing, Quantum Route Redirect présente une page Web légitime et inoffensive. Cette technique permet aux e-mails malveillants de passer à travers les couches de sécurité telles que les passerelles de messagerie sécurisées (SEG).
Cependant, une personne réelle cliquant sur le même lien est envoyée silencieusement vers une page de collecte d’informations d’identification imitant un portail de connexion Microsoft 365. Ce masquage avancé protège l’infrastructure de l’attaquant contre la découverte et la mise sur liste noire.
Son ampleur est déjà importante, KnowBe4 identifiant environ 1 000 domaines hébergeant le kit de phishing. Son impact est mondial, avec des victimes compromises dans 90 pays, même si les États-Unis supportent le plus gros des attaques, représentant 76 % des utilisateurs concernés.
La plateforme offre également à ses utilisateurs criminels une interface de gestion élégante. Un panneau d’administration permet de configurer facilement les règles de redirection, tandis qu’un tableau de bord offre des analyses en temps réel sur le trafic des victimes, y compris l’emplacement, le type d’appareil et les informations du navigateur.
Des fonctionnalités telles que l’empreinte digitale automatisée du navigateur et la détection VPN/proxy sont intégrées, éliminant presque tous les obstacles techniques pour l’opérateur.
La démocratisation de la cybercriminalité
Cette évolution de la méthodologie d’attaque signale un défi crucial pour la sécurité de l’entreprise. Quantum Route Redirect est un excellent exemple de la « démocratisation de la cybercriminalité », une tendance dans laquelle des outils sophistiqués sont regroupés dans des plates-formes conviviales de Phishing-as-a-Service (PhaaS).
De tels services abaissent les barrières à l’entrée, permettant aux acteurs malveillants disposant d’une expertise technique minimale de lancer des campagnes capables de contourner les défenses traditionnelles.
Ces plates-formes font partie d’une chaîne d’approvisionnement criminelle en pleine croissance où les attaquants peuvent acheter des kits prêts à l’emploi qui gèrent tout, depuis l’évasion. à la collecte des titres de compétences. Cette tendance n’est pas nouvelle ; une campagne précédente ciblant Microsoft 365 utilisait une boîte à outils PhaaS connue sous le nom de « Rockstar 2FA » pour contourner l’authentification multifacteur.
Comme Quantum Route Redirect, elle était vendue sous forme d’abonnement, rendant les fonctionnalités avancées accessibles pour une somme modique.
Une plus grande disponibilité de ces outils accélère le rythme des attaques et s’aligne sur les avertissements de Microsoft, qui a noté que « l’IA a commencé à abaisser la barre technique pour les acteurs de la fraude et de la cybercriminalité… ce qui rend les choses plus faciles et moins coûteux de générer du contenu crédible pour les cyberattaques à un rythme de plus en plus rapide. Un rapport récent a mis en évidence une une augmentation de 67 % des abus de plates-formes professionnelles fiables telles que QuickBooks et Zoom pour les attaques de phishing.
Les attaquants comprennent que les outils de sécurité et les utilisateurs sont moins susceptibles de se méfier du trafic provenant de un domaine connu et réputé. Plus tôt cette année, une campagne similaire a abusé de la fonctionnalité « link Wrapping » proposée par les fournisseurs de sécurité Proofpoint et Intermedia.
En compromettant un compte déjà protégé par ces services, les attaquants pourraient envoyer des liens malveillants automatiquement réécrits avec une URL de sécurité fiable, les blanchissant ainsi efficacement.
Le lien malveillant final est souvent plusieurs étapes éloignées du clic initial, trompant à la fois les logiciels de sécurité et les utilisateurs prudents.
La défense contre cette nouvelle réalité nécessite une approche à plusieurs niveaux. stratégie. Bien que la sensibilisation des utilisateurs reste importante, elle n’est plus suffisante lorsque les liens malveillants sont masqués par des domaines de confiance.
Les entreprises ont besoin de solutions avancées de sécurité de la messagerie capables d’analyser en profondeur le contenu à l’aide du traitement du langage naturel, ainsi que d’un filtrage robuste des URL au moment du clic.
Microsoft a déjà pris des mesures au niveau de la plate-forme contre des menaces similaires, comme sa décision de 2025 de bloquer les images SVG en ligne dans Outlook pour lutter contre le phishing véhiculé par SVG.
En fin de compte, se préparer à cette situation. des outils tels que Quantum Route Redirect exigent une combinaison de contrôles techniques résilients et de procédures de réponse rapides lorsque les informations d’identification sont inévitablement compromises.
