Messages Teams livrent une nouvelle porte dérobée
Des attaquants ont lancé une campagne de phishing ciblant les employés des organisations financières et de santé via des messages Microsoft Teams. Les hackers se sont fait passer pour des contacts légitimes afin de tromper les victimes et leur faire accorder un accès à distance via Windows Quick Assist.
Une fois l'accès à distance établi, les attaquants ont déployé une souche de malware jusque-là inconnue, baptisée A0Backdoor. La campagne représente un changement vers l'utilisation des plateformes de collaboration d'entreprise comme vecteurs d'attaque initiaux.
Secteurs financier et de la santé touchés
La campagne a spécifiquement ciblé les employés des services financiers et des organisations de santé. Les attaquants ont exploité la nature de confiance des communications Teams au sein de ces secteurs pour contourner la suspicion initiale.
Les organisations utilisant Microsoft Teams pour les communications internes font face à un risque accru avec cette méthode d'attaque. L'approche d'ingénierie sociale exploite la nature collaborative des outils de travail modernes.
Abus de Quick Assist permettant le déploiement de malware
La chaîne d'attaque commence par des messages Teams frauduleux demandant une assistance technique. Les victimes sont convaincues de partager leur écran ou d'accorder un contrôle à distance via Windows Quick Assist, l'outil de support à distance intégré de Microsoft.
Après avoir obtenu l'accès, les attaquants installent le malware A0Backdoor pour maintenir un accès persistant aux systèmes compromis. Les organisations devraient revoir les politiques de communication externe de Teams et éduquer les employés sur les tactiques d'ingénierie sociale ciblant les plateformes de collaboration.
