Des avis de Microsoft Azure Monitor sont détournés pour envoyer des courriels de phishing par rappel. Ceux-ci imitent des alertes émanant de l’équipe de sécurité de Microsoft concernant des charges non autorisées sur les comptes des utilisateurs.
Azure Monitor est un service de surveillance cloud de Microsoft qui collecte et analyse des données provenant des ressources, des applications et de l’infrastructure Azure. Il permet aux utilisateurs de suivre les performances, de recevoir des notifications sur les changements de facturation et de détecter des problèmes tout en fournissant des alertes en fonction de différentes conditions.
Au cours du mois écoulé, de nombreux utilisateurs ont signalé avoir reçu des notifications d’Azure Monitor signalant des charges suspectes ou des activités de facturation sur leurs comptes, les incitant à appeler un numéro de téléphone indiqué.
« Description de la règle d’alerte : AVIS DE FACTURATION ET DE SÉCURITÉ DU COMPTE DE MICROSOFT (Réf : MS-FRA-6673829-KP). Notre système a détecté une charge potentiellement non autorisée sur votre compte. Détails de la transaction : Commerce : Windows Defender. ID de transaction : PP456-887A-22B. Montant : 389,90 $. Date : 05/03/2026 », peut-on lire dans cette alerte frauduleuse.
« Pour votre protection, cette transaction a été placée temporairement en attente par notre équipe de détection des fraudes. Pour éviter une éventuelle suspension de compte ou des frais supplémentaires, veuillez vérifier cette transaction immédiatement. Si vous n’avez pas autorisé ce paiement, contactez notre support sécurité des comptes Microsoft 24/7 au +1 (864) 347-2494 ou +1 (864) 347-4846. »
« Nous nous excusons pour la gêne occasionnée et vous remercions de votre réponse rapide. Équipe de sécurité des comptes Microsoft. »
Source : BleepingComputer
Contrairement à d’autres campagnes de phishing, ces messages ne sont pas falsifiés, mais proviennent directement de la plateforme Azure Monitor de Microsoft, en utilisant l’adresse email légitime azure-noreply@microsoft.com.
Étant donné que les courriers sont envoyés par des canaux officiels de Microsoft, ils passent les vérifications de sécurité par SPF, DKIM et DMARC, leur conférant une apparence de légitimité accrue.
Les cybercriminels orchestre cette campagne en créant des alertes dans Azure Monitor pour des conditions facilement déclenchables, telles que de nouvelles commandes, des paiements ou des factures générées.
Lors de la création d’alertes, il est possible d’entrer n’importe quel message dans le champ de description, que les attaquants exploitent pour intégrer leur message de phishing par rappel.
Source : Microsoft
Ces alertes sont ensuite configurées pour être envoyées à ce qui semble être une liste de diffusion sous le contrôle de l’attaquant, qui fait suivre le courriel à toutes les personnes ciblées par l’attaque.
Ce processus préserve également les en-têtes et résultats d’authentification de Microsoft, permettant aux courriers de contourner les filtres anti-spam et de réduire la méfiance des utilisateurs.
Plusieurs catégories d’alertes ont été identifiées dans cette campagne, principalement dans le thème des factures et des paiements, imitant des notifications de facturation automatisées :
- Règle d’alerte Azure Monitor order-22455340 résolue pour invoice22455340
- Règle d’alerte Azure Monitor Invoice Paid INV-d39f76ef94 résolue pour invd39f76ef94
- Règle d’alerte Azure Monitor Payment Reference INV-22073494 résolue pour purchase22073494
- Règle d’alerte Azure Monitor Funds Successfully Received-ec5c7acb41 déclenchée pour subec5c7acb41
- Règle d’alerte Azure Monitor MemorySpike-9242403-A4 déclenchée
- Règle d’alerte Azure Monitor DiskFull-3426456-A6 déclenchée pour locker3426456
La campagne exploite un sentiment d’urgence avec une charge atypique de 389 $ pour Windows Defender, incitant les utilisateurs à appeler le numéro mentionné.
Bien que BleepingComputer n’ait pas contacté le numéro associé à cette escroquerie, les campagnes précédentes de phishing par rappel ont mené à des vols de données d’identification, à des fraudes financières, voire à l’installation de logiciels d’accès à distance.
Avec un ton plus professionnel, ces courriels pourraient également viser à accéder aux réseaux corporatifs pour de futures attaques.
Les utilisateurs doivent faire preuve de prudence vis-à-vis de toute alerte Azure ou Microsoft incluant un numéro de téléphone ou une demande urgente de résoudre des problèmes de facturation.