Microsoft and Cloudflare disrupt massive RaccoonO365 phishing service

Démantèlement d’un Service de Phishing Massif ciblant Microsoft 365

Microsoft et Cloudflare ont démantelé une opération d’envergure baptisée RaccoonO365, qui fournissait des kits de phishing aux cybercriminels pour dérober des identifiants Microsoft 365. Cette opération a permis la saisie de 338 sites web et comptes de service liés à RaccoonO365.

Le groupe derrière ce service, également connu sous le nom de Storm-2246, a volé au moins 5 000 identifiants Microsoft dans 94 pays depuis juillet 2024. Les kits de phishing utilisés intégraient des pages CAPTCHA et des techniques anti-bots pour paraître légitimes et échapper aux analyses. Des campagnes notables ont ciblé plus de 2 300 organisations aux États-Unis avec un thème fiscal, ainsi que plus de 20 établissements de santé américains.

Les informations dérobées (identifiants, cookies, etc.) provenant de comptes OneDrive, SharePoint et de messagerie ont été utilisées pour des fraudes financières, des actes d’extorsion ou comme point d’entrée vers d’autres systèmes. Ces attaques peuvent mener à des malwares et ransomwares, mettant en danger la sécurité publique, notamment dans le secteur de la santé, avec des conséquences sur les services aux patients et la confidentialité des données.

RaccoonO365 opérait via un canal Telegram privé, louant ses services de phishing sur abonnement, facturés en cryptomonnaies (USDT et Bitcoin). Microsoft estime que le groupe a généré au moins 100 000 dollars. L’enquête a identifié Joshua Ogundipe, un programmeur informatique basé au Nigeria, comme le leader de l’opération. Une collaboration avec des cybercriminels russophones est également suspectée. Un référencement criminel pour Ogundipe a été transmis aux forces de l’ordre internationales.

Points clés :

• Démantèlement d’un service de Phishing-as-a-Service (PhaaS) massif : RaccoonO365.
• Ciblage des identifiants Microsoft 365.
• Utilisation de kits de phishing sophistiqués avec protection anti-bot.
• Impact sur les organisations (plus de 2 300 aux États-Unis) et le secteur de la santé.
• Conséquences potentiellement graves : fraude financière, extorsion, malwares, ransomwares.
• Modèle économique basé sur des abonnements payés en cryptomonnaies.
• Identification du leader présumé : Joshua Ogundipe.

Vulnérabilités : Aucune vulnérabilité spécifique (CVE) n’est mentionnée dans l’article. Le mode opératoire repose sur l’exploitation de la confiance des utilisateurs et l’utilisation de techniques pour contourner les mesures de sécurité des plateformes en ligne.

Recommandations : Bien qu’aucune recommandation directe ne soit explicitement formulée dans ce texte, les actions menées par Microsoft et Cloudflare suggèrent implicitement l’importance de :

• La vigilance accrue face aux tentatives de phishing, même celles qui semblent légitimes.
• L’utilisation de solutions de sécurité robustes pour détecter et bloquer les activités de phishing.
• La collaboration entre les acteurs de la cybersécurité pour démanteler les opérations criminelles.
• Le suivi des communications de sécurité pour rester informé des menaces émergentes.

Source