Microsoft Teams dans le viseur : le vishing devient la nouvelle arme pour distribuer DarkGate
Des attaques par ingénierie sociale via Microsoft Teams sont organisées par des pirates informatiques dans le but de distribuer le logiciel malveillant DarkGate. Voici ce que vous devez savoir sur ces attaques basées sur du vishing.
Le logiciel malveillant DarkGate, est, ce que l'on appelle un cheval de Troie d'accès à distance, c'est-à-dire un RAT (Remote Access Trojan). Il est en circulation depuis plusieurs années et il est distribué de différentes façons : malvertising, e-mail malveillant (phishing), SEO poisoning, ou encore des messages sur Teams et Skype. En septembre 2023, nous avions d'ailleurs évoqué une campagne d'attaques menée sur Microsoft Teams.
Un nouveau rapport publié par les chercheurs en sécurité de chez Trend Micro évoque de nouvelles attaques basées sur du vishing, c'est-à-dire du phishing vocal. Ils expliquent avoir travaillé sur l'analyse d'un "incident dans lequel un pirate a utilisé l'ingénierie sociale via un appel Microsoft Teams pour se faire passer pour le client d'un utilisateur et obtenir un accès à distance à son système."
L'objectif du pirate étant d'utiliser cet accès distant pour télécharger plusieurs fichiers malveillants, dont le malware DarkGate. Pour cela, l'attaquant n'a pas hésité à manipuler la victime pour la convaincre d'installer un outil de prise en main à distance, en l'occurrence ici l'application AnyDesk. Au préalable, il a tenté de lui faire installer l'application Microsoft Remote Support, mais l'installation via le Microsoft Store a échoué.
"Après avoir accédé à la machine, l'attaquant a déposé plusieurs fichiers suspects. L'un des fichiers suspects a été détecté comme étant Trojan.AutoIt.DARKGATE.D.", précise le rapport. Cela n'est pas surprenant puisque DarkGate est généralement déployé par un script AutoIt.
Un mode opératoire en plusieurs étapes
Comme le montre le schéma ci-dessous, l'attaque se déroule en plusieurs étapes. Tout commence par un appel vocal sur Microsoft Teams pour tenter de piéger la victime. Avant cela, la victime reçoit, de la part de l'attaquant, des milliers d'e-mails dans sa boite de réception. Ce qui fait un bon prétexte pour venir en aide à l'utilisateur, qui dans la panique, appréciera surement un appel du support.
Ensuite, l'attaquant peut prendre le contrôle de l'ordinateur et les étapes s'enchaînent. À la fin, le nécessaire est fait pour modifier le Registre Windows afin d'assurer la persistance de la menace et le chargement automatique des composants malveillants. Il y a également des échanges avec les serveurs C2 contrôlés par les attaquants.
Cette campagne met en lumière l'importance de limiter les applications autorisées à s'exécuter sur une machine. Ceci est d'autant plus vrai qu'AnyDesk ne requiert pas de permissions administrateur pour être exécuté sur une machine. En complément, vous n'avez plus qu'à sensibiliser et avertir vos utilisateurs, une fois de plus.
