Un groupe de cybercriminels, identifié sous le nom de Storm-2755, est en train de siphonner les paiements de salaires des employés canadiens en s’introduisant dans leurs comptes lors d’attaques ciblant les systèmes de paie.
Les attaquants ont développé des pages de connexion malveillantes Microsoft 365 pour subtiliser les tokens d’authentification et les cookies de session. Ils ont redirigé les victimes vers des domaines tels que bluegraintours[.]com, qui hébergeaient de faux formulaires de connexion, optimisés à l’aide de techniques de malvertising et de SEO poisoning.
Grâce à cette méthode, le groupe Storm-2755 a contourné l’authentification multifactorielle (MFA) en réutilisant les tokens de session volés, dans le cadre d’attaques adversary-in-the-middle (AiTM), sans nécessiter de nouvelle authentification.
Microsoft a expliqué : « Au lieu de simplement recueillir des noms d’utilisateur et des mots de passe, les cadres AiTM redirigent l’intégralité du flux d’authentification en temps réel, permettant ainsi de capturer des cookies de session et des tokens d’accès OAuth émis après une authentification réussie. »
Une fois dans le compte d’un employé, l’attaquant a mis en place des règles dans la boîte de réception qui déplaçaient automatiquement les messages des équipes des ressources humaines contenant les mots « versement direct » ou « banque » vers des dossiers cachés, rendant ces communications invisibles pour la victime.
Par la suite, le groupe a recherché des termes tels que « paie », « ressources humaines », « versement direct » et « finance ». Ils ont ensuite envoyé des emails aux équipes RH avec pour objet « Question sur le versement direct », dans le but de tromper le personnel et de les inciter à mettre à jour des informations bancaires.
Lorsque les techniques de social engineering échouaient, l’attaquant se connectait directement aux plateformes de gestion des ressources humaines comme Workday, utilisant la session volée pour modifier manuellement les informations de versement direct.
Pour renforcer les défenses contre les attaques AiTM et les attaques sur les systèmes de paie, Microsoft recommande de bloquer les protocoles d’authentification obsolètes et d’implémenter une MFA résiliente face au phishing.
En cas de détection d’un quelconque signe de compromission, il est conseillé de révoquer immédiatement les tokens et sessions compromis, de supprimer les règles de boîte de réception malveillantes et de réinitialiser les méthodes MFA ainsi que les identifiants pour tous les comptes affectés.
En octobre dernier, Microsoft avait déjà perturbé une campagne similaire visant les comptes Workday, active depuis mars 2025, où une autre organisation criminelle, nommée Storm-2657, ciblait des employés universitaires aux États-Unis pour détourner leurs paiements de salaire.
Dans ces attaques, Storm-2657 accédait aux comptes des victimes via des emails de phishing et subtilisait les codes MFA en utilisant des tactiques AiTM, ce qui permettait aux cybercriminels de compromettre les comptes Exchange Online des utilisateurs.
Les attaques sur les systèmes de paie font partie d’une variante des escroqueries par business email compromise (BEC) qui visent les entreprises et les individus réalisant régulièrement des virements. L’année dernière, le centre des plaintes pour crimes sur Internet du FBI, le IC3, a reçu plus de 24 000 plaintes pour fraude BEC, entraînant des pertes dépassant les 3 milliards de dollars, faisant de ce type de fraude la deuxième plus lucrative après les escroqueries liées aux investissements.