De nouvelles attaques de phishing abusent des demandes de discussion de groupe de Microsoft Teams pour envoyer des pièces jointes malveillantes qui installent des charges utiles de logiciels malveillants DarkGate sur les systèmes des victimes.

Les attaquants ont utilisé ce qui ressemble à un utilisateur (ou domaine) Teams compromis pour envoyer plus de 1 000 invitations de discussion de groupe Teams malveillantes, selon une étude d’AT&T Cybersecurity.

Une fois que les cibles ont accepté la demande de discussion, les auteurs de la menace les incitent à télécharger un fichier à l’aide d’une double extension nommée « Navigation dans les modifications futures octobre 2023 ».pdf.msi, une tactique courante de DarkGate.

Une fois installé, le logiciel malveillant contactera son serveur de commande et de contrôle à l’adresse hgfdytrywq [.] com, qui est déjà confirmé comme faisant partie de l’infrastructure des logiciels malveillants DarkGate par Palo Alto Networks.

Cette attaque de phishing est possible car Microsoft autorise par défaut les utilisateurs externes de Microsoft Teams à envoyer des messages aux utilisateurs d’autres locataires.

« À moins que cela ne soit absolument nécessaire pour une utilisation professionnelle quotidienne, la désactivation de l’accès externe dans Microsoft Teams est recommandée pour la plupart des entreprises, car le courrier électronique est généralement un canal de communication plus sécurisé et surveillé de plus près », a averti Peter Boyle, ingénieur en sécurité réseau chez AT&T Cybersecurity.

« Comme toujours, les utilisateurs finaux doivent être formés à prêter attention à la provenance des messages non sollicités et doivent se rappeler que l’hameçonnage peut prendre de nombreuses formes au-delà de l’e-mail typique. »

Hameçonnage par chat en groupe d’équipes

Microsoft Teams est devenu une cible attrayante pour les acteurs de la menace en raison de son énorme bassin de 280 millions d’utilisateurs mensuels. Les opérateurs de DarkGate capitalisent sur cela en diffusant leurs logiciels malveillants via Microsoft Teams dans des attaques ciblant des organisations où les administrateurs n’ont pas sécurisé leurs locataires en désactivant le paramètre d’accès externe.

Des campagnes similaires ont été observées l’année dernière poussant des logiciels malveillants DarkGate via des comptes Office 365 externes compromis et des comptes Skype qui envoyaient des messages contenant des pièces jointes de script de chargeur VBA.

Les courtiers d’accès initiaux comme Storm-0324 ont également utilisé Microsoft Teams pour le phishing afin de violer les réseaux d’entreprise à l’aide d’un outil accessible au public appelé TeamsPhisher qui exploite un problème de sécurité dans Microsoft Teams.

TeamsPhisher permet aux attaquants d’envoyer des charges utiles malveillantes malgré les protections côté client qui devraient bloquer la livraison de fichiers à partir de comptes locataires externes.

APT29, une division de piratage du Service de renseignement extérieur russe (SVR), a exploité le même problème pour cibler des dizaines d’organisations dans le monde entier, y compris des agences gouvernementales.

​Vague d’attaques de logiciels malveillants DarkGate
À la suite des efforts de collaboration internationale qui ont perturbé le botnet Qakbot en août, les cybercriminels se sont de plus en plus tournés vers le chargeur de logiciels malveillants DarkGate comme moyen privilégié d’accès initial aux réseaux d’entreprise.

Avant que le botnet Qakbot ne soit démantelé, un individu prétendant être le développeur de DarkGate a tenté de vendre des abonnements annuels de 100 000 annual sur un forum de piratage.

Le développeur de DarkGate a déclaré qu’il incluait de nombreuses fonctionnalités, telles qu’un VNC dissimulé, des outils pour contourner Windows Defender, un outil de vol d’historique de navigateur, un proxy inverse intégré, un gestionnaire de fichiers et un voleur de jetons Discord.

Après l’annonce du développeur, il y a eu une augmentation notable des infections signalées par DarkGate, les cybercriminels utilisant diverses méthodes de livraison, y compris le phishing et la publicité malveillante.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *