Menace de cyberattaque : utilisateurs d'entreprise infectés via Microsoft Teams
Les utilisateurs professionnels sont plus conscients des attaques de phishing dans leurs boîtes aux lettres. Pourtant, ils n'ont pas l'habitude d'être ciblés via d'autres systèmes comme Microsoft Teams. Apprenez à vous protéger.
Nous pouvons être rémunérés par les fournisseurs qui apparaissent sur cette page par le biais de méthodes telles que des liens d'affiliation ou des partenariats sponsorisés. Cela peut influencer comment et où leurs produits apparaissent sur notre site, mais les fournisseurs ne peuvent pas payer pour influencer le contenu de nos avis. Pour plus d'informations, visitez notre page Conditions d'utilisation.
fond de concept de cybersécurité
Des chercheurs d'Avanan, une société de Check Point, ont annoncé la découverte d'attaques exploitant la plateforme de communication Microsoft Teams pour infecter les utilisateurs en entreprise.
Comment les attaques ont pris pied initialement
Couverture de sécurité à lire absolument
Microsoft Teams est une plate-forme populaire adoptée par de nombreuses entreprises dans le monde, faisant partie de la famille de produits Microsoft 365. Cette plate-forme permet à ses utilisateurs de faire des conférences audio et vidéo, de discuter sur plusieurs canaux et d'échanger des fichiers entre utilisateurs et groupes d'utilisateurs.
Du point de vue du cyberespionnage, cela ressemble à une mine d'or, car avoir accès à la plateforme Teams d'une entreprise ciblée signifierait avoir accès à toutes les conversations des différents canaux, qui pourraient contenir des informations très sensibles ou de la propriété intellectuelle. Il peut également contenir des fichiers sensibles partagés entre ses utilisateurs. Pourtant, il est également intéressant pour les cybercriminels à motivation financière, car ils pourraient simplement être en mesure d'attraper des données intéressantes à l'intérieur de Teams, ce qui pourrait leur permettre de commettre plus de fraudes, comme l'obtention d'informations de carte de crédit par exemple.
Pour accéder à la plate-forme Teams, la seule chose dont l'attaquant a besoin est des informations d'identification valides de l'un des employés de l'entité ciblée. Comme l'a mentionné Avanan, cela peut être fait en obtenant les informations d'identification de courrier électronique de n'importe quel utilisateur, ce qui est souvent fait en exécutant des campagnes de phishing.
Bien sûr, les attaquants peuvent également simplement acheter des informations d'identification valides auprès de courtiers d'accès initiaux ou utiliser l'ingénierie sociale pour cibler un utilisateur particulier et réussir à obtenir son mot de passe d'entreprise.
Infection via Teams
Une fois qu'un attaquant a obtenu un identifiant de messagerie valide, il peut se connecter à la plate-forme Teams de l'entreprise.
C'est là qu'Avanan a vu des milliers d'attaques par mois. L'attaquant opère en déposant des fichiers exécutables (.exe) nommés "UserCentric.exe" dans différentes conversations Teams, l'exécutable étant un fichier malveillant, généralement un cheval de Troie. Le fichier écrit des données dans le registre Windows, installe des fichiers DLL et crée des liens de raccourci qui permettent au programme de s'auto-administrer et de prendre le contrôle des ordinateurs.
Avanan n'a pas mentionné le but ultime pour infecter les utilisateurs avec ce malware, mais nous pouvons soupçonner qu'il est de permettre aux attaquants d'obtenir plus de données du réseau interne de leur cible ou d'obtenir un accès complet aux ordinateurs du réseau. Ces connaissances pourraient à leur tour être utilisées pour la fraude financière ou le cyberespionnage.
Une cible parfaite ?
Microsoft Teams ne dispose pas d'un système de détection de liens malveillants et ne dispose que d'un moteur de détection de virus commun. Les utilisateurs, depuis qu'ils se connectent à une plateforme fournie par leur entreprise, ont tendance à faire systématiquement confiance à tout ce qui s'y partage, dans un faux sentiment de « tout est sécurisé ici ».
Cette confiance incite les utilisateurs à partager beaucoup plus de données qu'ils ne le feraient habituellement sur une plate-forme qu'ils ne connaissent pas, du point de vue de la sécurité.
Non seulement les attaquants peuvent placer des liens infectants ou des fichiers directs sur les différents canaux de discussion, mais ils peuvent également discuter en privé avec n'importe quel utilisateur et utiliser des compétences d'ingénierie sociale pour les infecter.
Très peu d'utilisateurs se soucieront de sauvegarder les fichiers obtenus sur leurs disques durs et de lancer des produits antivirus ou de détection des menaces dessus avant de les ouvrir.
Voyant des milliers d'attaques de ce type, Avanan a déclaré qu'il s'attend à une augmentation significative de ce type d'attaques à l'avenir.
Comment se protéger d'une attaque Teams
Pour commencer, tout doit bien sûr être fait pour protéger les identifiants de messagerie de chaque utilisateur.
De plus, voici ce que le service informatique doit faire concernant la menace spécifique de Teams signalée dans cet article :
Activez l'authentification à deux facteurs sur les comptes Microsoft utilisés pour Teams afin que les utilisateurs aient besoin d'utiliser une validation sur leurs téléphones.
Implémentez une sécurité supplémentaire pour chaque fichier déposé dans les dossiers SharePoint liés à Teams. Les fichiers doivent tous être vérifiés par rapport à une solution de détection des menaces. Leurs hachages cryptographiques pourraient également être soumis à VirusTotal afin de vérifier si le fichier est peut-être déjà connu et classé.
chaque lien copié sur Teams. Si possible, utilisez plusieurs services de réputation de liens pour vérifier si le lien est sûr ou non.
Sensibiliser les collaborateurs. De la même manière que les attaques de phishing et toutes les menaces par courrier électronique sont sensibilisées, les employés doivent être informés des risques des plateformes de communication et de partage.
Divulgation : Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.
REF.: https://www.techrepublic.com/article/cyberattack-threat-corporate-users-infected-via-microsoft-teams/
Bulletin d'informations sur la cybersécurité
