**Storm-2755** mène des attaques de piratage de paie en volant les paiements de salaire des employés canadiens après avoir obtenu un accès non autorisé à leurs comptes. ### Méthodologie d'attaque AiTM Les attaquants emploient des pages de connexion **Microsoft 365** malveillantes pour voler les jetons d'authentification et les cookies de session des victimes. Ceci est réalisé en redirigeant les utilisateurs vers des domaines tels que `bluegraintours[.]com`, qui hébergent des pages Web malveillantes se faisant passer pour des formulaires de connexion légitimes **Microsoft 365**. Ces pages malveillantes sont souvent placées en tête des résultats des moteurs de recherche grâce à des techniques de malvertising ou de référencement empoisonné. Cette tactique permet à **Storm-2755** de contourner l'authentification multifacteur (MFA) grâce à des attaques d'adversaire-en-le-milieu (AiTM). Au lieu de se réauthentifier, les attaquants rejouent les jetons de session volés. > « Plutôt que de simplement récolter des noms d'utilisateur et des mots de passe, les frameworks AiTM relaient l'intégralité du flux d'authentification en temps réel, permettant la capture des cookies de session et des jetons d'accès OAuth émis lors d'une authentification réussie », a expliqué **Microsoft**. > « En raison de ces jetons représentant une session entièrement authentifiée, les acteurs de menace peuvent les réutiliser pour accéder aux services Microsoft sans être invités à fournir des identifiants ou une MFA, contournant ainsi efficacement les protections MFA héritées qui ne sont pas conçues pour résister au phishing. »  *Flux d'attaque de Storm-2755 (Microsoft)* ### Tactiques post-compromission de compte Une fois qu'un compte est compromis, les attaquants créent des règles de boîte de réception pour déplacer automatiquement les messages du personnel des ressources humaines contenant des mots-clés tels que « dépôt direct » ou « banque » vers des dossiers cachés. Cela empêche les victimes de remarquer l'activité frauduleuse. Ensuite, ils recherchent des termes tels que « paie », « RH », « dépôt direct » et « finance » et envoient des e-mails au personnel des ressources humaines avec des sujets tels que « Question concernant le dépôt direct » pour les inciter à mettre à jour leurs informations bancaires. Si l'ingénierie sociale échoue, les attaquants se connectent directement aux plateformes logicielles RH telles que **Workday**, en utilisant la session volée pour mettre à jour manuellement les détails du dépôt direct.  *Storm-2755 envoyant des e-mails au personnel RH (Microsoft)* ### Stratégies d'atténuation Pour se défendre contre les attaques AiTM et de piratage de paie, **Microsoft** recommande : * Bloquer les protocoles d'authentification hérités. * Mettre en œuvre une MFA résistante au phishing. * Révoquer immédiatement les jetons et les sessions compromis dès leur détection. * Supprimer les règles de boîte de réception malveillantes. * Réinitialiser les méthodes MFA et les identifiants pour tous les comptes affectés. ### Attaques de paie antérieures En octobre, **Microsoft** a déjoué une campagne de paie similaire ciblant les comptes **Workday** depuis mars 2025. Cette campagne, menée par **Storm-2657**, a ciblé des employés universitaires à travers les États-Unis, détournant les paiements de salaire à l'aide d'e-mails de phishing et de tactiques AiTM pour voler les codes MFA et compromettre les comptes Exchange Online. Les attaques de piratage de paie sont une forme d'arnaques de compromission de messagerie professionnelle (BEC). L'Internet Crime Complaint Center (IC3) du FBI a signalé plus de 24 000 plaintes de fraude BEC l'année dernière, entraînant des pertes dépassant les 3 milliards de dollars.