En ce qui concerne la pandémie et la nécessité de se connecter à distance tout en travaillant, les équipes Microsoft continuent de prospérer à l’échelle mondiale. En juillet 2021, Teams a enregistré une augmentation qui a contribué à atteindre 270 millions d’utilisateurs actifs mensuels. Comme cette croissance peut sembler remarquable et digne, les cybercriminels sont également en liberté pour cibler des millions d’utilisateurs en définissant Microsoft Teams comme une rampe de lancement pour les attaques de phishing et de logiciels malveillants.
Selon un article de blog de la société de sécurité cloud Avanan , on observe désormais qu’à partir de janvier 2022, les pirates exploitent les conversations de Teams en déposant des fichiers exécutables malveillants. Avanan mentionne que ce fichier écrit des données dans le registre Windows, installe des fichiers DLL et crée des liens de raccourci qui permettent au programme de s’auto-administrer. Avec des milliers de ces attaques identifiées et analysées par Avanan, la société est parvenue à la conclusion que ces fichiers .exe sont utilisés par des pirates dans Microsoft Teams. L’augmentation rapide de ces attaques d’équipe s’est révélée être une source d’inquiétude pour les utilisateurs insoupçonnés.
La pratique de cette attaque a identifié que les pirates attachent des fichiers .exe via les chats Teams, un cheval de Troie est installé sur l’ordinateur de l’utilisateur final. Dans l’attaque effectuée par e-mail, Avanan a identifié que des pirates piratent Teams. Ce piratage se fait avec des attaques Est-Ouest qui commencent par e-mail, ou en usurpant simplement un utilisateur. Un fichier .exe nommé « User Centric » est alors joint à un chat. Lorsque vous cliquez dessus, ce cheval de Troie s’installe en tant que fichiers DLL et crée des liens de raccourci pour s’auto-administrer et les pirates peuvent éventuellement prendre le contrôle de l’ordinateur de l’utilisateur. À l’aide d’un fichier exécutable ou d’un fichier contenant des instructions à exécuter par le système, les pirates peuvent installer des bibliothèques de fichiers malveillants (fichiers DLL) qui permettent au programme de s’auto-administrer et de prendre le contrôle de l’ordinateur.
Pour joindre des fichiers malveillants à une discussion Teams, la première étape consiste à accéder à Teams. Les pirates ont un certain nombre de façons qui est effectuée. Les pirates peuvent entrer en compromettant une organisation partenaire et en écoutant les discussions inter-organisationnelles. Ils peuvent compromettre une adresse e-mail et l’utiliser pour accéder à Teams. Ils peuvent voler les informations d’identification Microsoft 365 d’une précédente campagne de phishing, leur donnant ainsi un accès carte blanche à Teams et au reste de la suite Office. Étant donné que les pirates sont assez aptes à compromettre les comptes Microsoft 365 à l’aide des méthodes traditionnelles de phishing par e-mail, ils ont appris que les mêmes informations d’identification fonctionnent pour les équipes.
Selon Avanan, une fois l’entrée dans une organisation sécurisée, un attaquant est déjà informé de la technologie utilisée pour la protéger. Cela signifie qu’ils peuvent dire quels logiciels malveillants contourneront les protections existantes. Le fait que les protections Teams par défaut manquent aggrave ce problème, car la recherche de liens et de fichiers malveillants est limitée. De plus, de nombreuses solutions de sécurité de messagerie n’offrent pas de protection robuste pour les équipes. Les pirates, qui peuvent accéder aux comptes Teams via des attaques Est-Ouest, ou en tirant parti des informations d’identification qu’ils récoltent lors d’autres attaques de phishing, ont carte blanche pour lancer des attaques contre des millions d’utilisateurs sans méfiance. Cette attaque a montré que les pirates ont acquis une compréhension approfondie de Teams en tant que vecteur d’attaque potentiel alors que l’utilisation continue de croître rapidement.
Pour les utilisateurs de Teams, il est temps d’être conscient et de refuser l’envie de télécharger des fichiers provenant de sources inconnues. Les utilisateurs sont encouragés à contacter le service informatique lorsqu’un fichier inconnu est suspecté. Il est également conseillé aux organisations de déployer une sécurité complète et robuste qui sécurise toutes les lignes de communication de l’entreprise, y compris Teams. La nouvelle de ce bogue Teams survient alors que les utilisateurs de Windows 10 reçoivent des alertes sur la résurgence du méchant bogue QBot, un malware qui remonte à 2007, avec maintenant des résultats plus terrifiants. Selon les experts en sécurité de Digital Forensics and Incident Response (DFIR), ce logiciel malveillant peut donner aux pirates un accès complet aux fichiers personnels tels que les e-mails, les mots de passe et l’historique de navigation Web dans les 30 minutes suivant l’entrée dans le système des victimes.
Source : techbooky
