Microsoft Teams est actuellement le lieu de diffusion d’une campagne de phishing bien ficelée. Des pirates jouent sur la corde sensible dans leurs messages, pour inciter à cliquer sur un fichier ZIP contenant DarkGate, un dangereux malware ultra-polyvalent.
Il faut faire attention au phishing, les hackers redoublent d’inventivité pour vous faire cliquer sur des liens frauduleux. Mais parfois, c’est dans les vieux pots qu’on fait les meilleurs piratages, avec une bonne vieille pièce jointe dans un message. C’est surtout la plateforme qui joue : Microsoft Teams (qui propose désormais des réunions VR) inspire une certaine confiance chez les utilisateurs, que les hackers tentent maintenant d’exploiter.
Comment fonctionne cette campagne de phishing sur Teams ?
La campagne de phishing qui nous intéresse a débuté fin août 2023. Les hackers procèdent en envoyant des messages de hameçonnage aux adresses de différentes organisations, via deux comptes Office 365 hackés. Habilement, les pirates jouent sur la corde sensible : ces messages demandent aux salariés de ces entreprises de télécharger et ouvrir un fichier ZIP intitulé “Changements dans le calendrier des vacances“.
Un clic sur la pièce jointe déclenche le téléchargement d’un fichier compressé à partir d’une URL Microsoft SharePoint : de quoi inspirer confiance. Ce fichier .zip cache un .lnk qui se fait passer pour un document PDF. Les chercheurs de Truesec l’ont analysé et découvert qu’il contient un script malveillant qui déclenche une chaîne d’infection, menant au chargement du malware DarkGate.
Qu’est ce que DarkGate, ce malware capable de tout faire ?
DarkGate circule depuis 2017. C’est un malware puissant, sans commune mesure avec l’étrange malware qui affecte les smartphones Xiaomi depuis le début de l’année. Il peut prendre en charge un large éventail d’activités malveillantes, notamment hVNC, un malware capable de prendre le contrôle des Mac à distance. Il peut aussi lancer le minage de crypto-monnaies, le keylogging, le vol de presse-papiers et de toutes sortes d’informations.
En juin 2023, la société de cybersécurité ZeroFox rapportait qu’une personne prétendant être l’auteur de DarkGate avait tenté de louer le logiciel malveillant à dix personnes, pour le la somme rondelette de 100 000 dollars par an. Au cours des mois suivants, de nombreux rapports ont fait état d’une intensification de la distribution de DarkGate via divers canaux, notamment par phishing et publicité malveillante.