Microsoft et Cloudflare viennent de s’attaquer à une redoutable plateforme de phishing, RaccoonO365. Cette plateforme de phishing-as-a-service (PhaaS) permet aux cybercriminels de lancer en masse des attaques d’hameçonnage contre des comptes Microsoft 365.
À lire aussi : Arnaque Free – ce mail de phishing redoutable utilise votre IBAN pour vous piéger
5 000 identifiants Microsoft volés depuis l’an dernier
Selon les chercheurs de Cloudflare, la plateforme est administrée par un gang de pirates connu sous le nom de code Storm-2246. Avec les outils mis à disposition au sein de RaccoonO365, le groupe a dérobé 5 000 identifiants Microsoft depuis juillet 2024. Plus de 2 300 organisations américaines et au moins 20 entités de santé aux États‑Unis se sont retrouvés dans le viseur du gang. Les pirates ont surtout fait des dégâts avec une campagne relative aux impôts. Les attaquants ont envoyé des mails en se faisant passer pour le fisc américain. C’est une tactique répandue, mais toujours terriblement efficace.
Les victimes reçoivent d’abord un mail piégé qui contient soit un lien, soit un code QR en pièce jointe. En cliquant sur le lien ou en scannant le QR code, elles sont dirigées vers une page affichant un simple CAPTCHA, afin de donner l’illusion qu’il s’agit d’un site officiel et légitime. La victime alors est redirigée vers une fausse page de connexion Microsoft O365, qui va aspirer ses identifiants.
Au cours de l’attaque, les pirates tentent de voler des informations d’identification, des cookies de session ou n’importe quelles autres données disponibles sur OneDrive ou SharePoint. Les informations exfiltrées alimentent ensuite diverses arnaques, comme des attaques par ransomware ou des infections par logiciels malveillants.
Vendus sur Telegram, les abonnements RaccoonO365 sont proposés à des prix allant de 355 dollars pour 30 jours à 999 dollars pour 90 jours. Sans surprise, l’abonnement devait être réglé en cryptomonnaies, comme du Bitcoin ou de l’USDT. Grâce à son vaste arsenal de kits de phishing, RaccoonO365 est parvenu à cumuler autour de 850 membres sur son canal Telegram à la fin de l’été. Les chercheurs estiment que le gang a engrangé au moins 100 000 dollars de bénéfices en cryptomonnaies uniquement grâce à ses abonnements.
« Des outils simples comme RaccoonO365 rendent la cybercriminalité accessible à pratiquement tout le monde, mettant des millions d’utilisateurs en danger », regrette Microsoft.
Microsoft et Cloudflare contre-attaquent
Avec l’appui de l’unité de lutte contre les crimes numériques de Microsoft, les équipes de Cloudflare ont lancé une opération de perturbation à l’encontre de RaccoonO365 au début du mois de septembre 2025. Dans son rapport, Cloudflare explique avoir mené « un retrait coordonné de centaines de domaines et de comptes », démantelant « de fait l’ensemble de leur infrastructure ». Microsoft précise que 338 sites Web associés au service ont été bloqués avec l’approbation des tribunaux.
Dans la foulée, les chercheurs ont pu remonter jusqu’à l’identité du créateur du service criminel, un hacker vivant au Nigeria sous le nom de Joshua Ogundip. L’homme collabore actuellement avec des pirates russes pour faire grandir la plateforme de phishing.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Microsoft
