Des cybercriminels ont utilisé des messages Microsoft Teams dans le cadre d'une nouvelle campagne de phishing visant à inciter les utilisateurs à télécharger des pièces jointes infectées par des logiciels malveillants.

Microsoft Teams vient de faire l’objet d’une nouvelle campagne de phishing. Celle-ci a été identifiée pour la première fois fin août 2023 lorsque des messages Microsoft Teams malveillants, provenant de deux comptes Office 365 compromis, ont commencé à circuler dans différentes organisations. Ces messages incitaient les destinataires à télécharger un fichier ZIP apparemment inoffensif, intitulé de manière alléchante “Changements dans le calendrier des vacances”. Récemment, Google Docs, Slide et Looker Studio ont eux aussi été confrontés à des problèmes similaires de phishing.

Les victimes peu méfiantes qui ont cliqué sur cette pièce jointe ont alors lancé le téléchargement du fichier ZIP à partir d'une URL SharePoint. Cependant, ce qui semblait être un fichier PDF inoffensif dans le ZIP était en réalité un fichier LNK contenant un dangereux VBScript. Ce script a conduit à l'installation d'une célèbre souche de logiciels malveillants connue sous le nom de DarkGate.

Lire également – Windows 11 : Microsoft Teams ne sera plus installé par défaut, Slack crie victoire

Qu’est-ce que DarkGate, ce nouveau malware dangereux ?

DarkGate, le logiciel malveillant au cœur de cette campagne, existe depuis 2017. Cependant, son utilisation était auparavant limitée à un cercle restreint de cybercriminels qui ciblaient des victimes spécifiques. DarkGate est un logiciel malveillant puissant et multiforme, capable d'un éventail d'activités malveillantes, notamment l'accès à distance via hVNC, le minage de cryptomonnaies, les attaques par shell inversé, le keylogging, le vol de données de presse-papiers et l'exfiltration d'informations sensibles, y compris des fichiers et des données de navigation.

L'enquête menée par la société de cybersécurité Truesec a révélé que le processus de téléchargement utilisait ingénieusement Windows cURL pour récupérer le code du logiciel malveillant. Le VBScript était précompilé et ses composants malveillants étaient habilement dissimulés dans le fichier, ce qui le rendait plus difficile à détecter par les systèmes de sécurité.

Ce n'est pas la première fois que des messages Microsoft Teams sont impliqués dans des problèmes de sécurité. Récemment, une vulnérabilité a été découverte qui permettait à des messages provenant de comptes externes d'infiltrer la boîte de réception d'une organisation, ce qui ne devrait pas se produire. Il semble que la campagne DarkGate ait aussi exploité cette vulnérabilité.