Une nouvelle campagne de phishing tirant parti d’un problème facilement exploitable dans Microsoft Teams pour diffuser des logiciels malveillants a été signalée par des chercheurs.
À la fin du mois dernier, des chercheurs de Truesec ont repéré deux comptes Microsoft 365 compromis qui envoyaient des messages sur le thème des ressources humaines avec une pièce jointe malveillante à des entreprises.
Zip – est téléchargé à partir d’un site SharePoint et, une fois ouvert, il conduit à l’exécution d’un script AutoIT qui lance un shellcode pour charger l’exécutable Windows du chargeur DarkGate.
Comme indiqué précédemment, les chercheurs de Jumpsec ont récemment découvert un bogue dans Microsoft Teams qui pourrait permettre aux acteurs de la menace de diffuser des logiciels malveillants dans les boîtes de réception des employés, en contournant les contrôles de sécurité côté client qui interdisent aux locataires externes d’envoyer des fichiers aux employés.
«Malheureusement, les fonctions de sécurité actuelles de Microsoft Teams, telles que Safe Attachments ou Safe Links, n’ont pas été en mesure de détecter ou de bloquer cette attaque», conclut Jakob Nordenlund, consultant senior en cybersécurité chez Truesec.
«Pour l’instant, le seul moyen d’empêcher ce vecteur d’attaque dans Microsoft Teams est de n’autoriser que les demandes de chat Microsoft Teams provenant de domaines externes spécifiques, bien que cela puisse avoir des implications commerciales puisque tous les domaines externes de confiance doivent être inscrits sur la liste blanche d’un administrateur informatique.»
