Les cybercriminels installent des logiciels malveillants en trompant les utilisateurs de Teams et en prenant le contrôle de leur système.
Les cybercriminels exploitent les appels Microsoft Teams pour se faire passer pour des membres du personnel informatique et convaincre les employés d’installer des logiciels malveillants. L’attaque mène finalement à l’installation d’EtherRAT, un cheval de Troie d’accès à distance sophistiqué qui permet aux attaquants de prendre le contrôle total d’un système.
Selon les chercheurs de Palo Alto Networks, l’attaque commence par un e-mail de phishing contenant prétendument une enquête destinée aux employés. L’e-mail contient une pièce jointe PDF malveillante. Si la victime l’ouvre, elle reçoit un appel Teams de la part d’une personne se faisant passer pour un administrateur système ou un technicien du service d’assistance.
Des outils légitimes détournés
Pendant l’appel, les attaquants convainquent la victime d’autoriser le partage d’écran via Microsoft Teams. Ensuite, ils demandent à l’utilisateur d’installer des programmes légitimes d’assistance à distance, tels que HopToDesk ou AnyDesk.
Une fois l’accès à distance actif, les attaquants téléchargent un fichier MSI malveillant qui installe un runtime Node.js, puis active EtherRAT. Ce malware offre des fonctionnalités étendues, notamment l’exécution de commandes, le vol de fichiers, la modification de données et le maintien d’un accès permanent à l’appareil.
Microsoft renforce davantage la sécurité de Teams
L’exploitation de Microsoft Teams par les cybercriminels a augmenté ces derniers mois. Plus tôt cette année, des campagnes similaires avaient déjà été détectées, au cours desquelles des attaquants se faisaient passer pour des membres du personnel informatique interne via Teams afin d’inciter les victimes à lancer des sessions Quick Assist. Par ce biais, ils installaient ensuite des logiciels malveillants ou exploraient les réseaux d’entreprise.
Microsoft a donc ajouté plusieurs mesures de sécurité supplémentaires à Teams. Ainsi, les utilisateurs reçoivent des avertissements lorsqu’ils sont contactés par des comptes externes, et les administrateurs peuvent placer automatiquement les bots externes suspects dans la salle d’attente d’une réunion jusqu’à ce qu’un organisateur approuve explicitement l’accès.
