Google vient d'émettre un avertissement concernant un nouveau groupe de cybercriminels utilisant des invitations à discuter sur Microsoft Teams combinées à de fausses notifications du service d'assistance technique (helpdesk) pour voler des informations de connexion et installer des logiciels malveillants.
Selon le Groupe de renseignement sur les menaces de Google (GTIG), un groupe de pirates informatiques nommé UNC6692 a lancé une campagne d'attaque à grande échelle avec des tactiques sophistiquées, ciblant les entreprises par le biais d'une "attaque préventive" par courrier indésirable.
Plus précisément, les sujets envoient d'abord une grande quantité d'e-mails indésirables aux employés de l'entreprise, ce qui surcharge la boîte aux lettres. Dans un état de désordre dû à la réception continue d'e-mails inhabituels, les utilisateurs perdent facilement leur vigilance. Immédiatement après, l'agresseur se fera passer pour un employé informatique, contactera activement Microsoft Teams et proposera de l'aide pour résoudre le problème.
Croyant qu'il s'agissait d'un service interne, de nombreuses personnes ont suivi les instructions. Les utilisateurs ont été invités à cliquer sur un lien présenté comme un outil pour aider à corriger les erreurs d'e-mail. Cependant, ce lien a conduit à un faux site web appelé "Mailbox Repair Utility", conçu comme un outil de vérification du système.
Après avoir été invité à fournir des informations de connexion par e-mail, le faux système signalera intentionnellement une erreur lors des premières saisies, demandant une nouvelle saisie. Cette astuce fait croire aux utilisateurs qu'ils n'ont pas bien effectué leurs opérations, alors qu'en réalité les informations de connexion ont été collectées.
Selon l'avertissement, toutes ces données sont ensuite transférées vers un serveur contrôlé par des pirates via le service Amazon Web Services S3. Dans le même temps, des fichiers malveillants sont également secrètement téléchargés sur l'appareil. Lorsque l'écran affiche le message "achevé", le système a en fait été piraté.
Après avoir pris l'accès initial, les pirates informatiques continuent d'installer davantage d'outils pour maintenir un contrôle à long terme. Ces logiciels leur permettent de surveiller les activités, d'exécuter les commandes à distance, et même de capturer des écrans ou de voler des données importantes à l'insu des utilisateurs.
Les experts affirment qu'il s'agit d'une forme d'attaque "technique sociale", qui exploite la psychologie et les habitudes humaines, au lieu de simplement exploiter les lacunes techniques.
Auparavant, Microsoft avait également enregistré des campagnes d'escroquerie similaires via la plateforme Teams, avec l'astuce de se faire passer pour un service d'assistance technique.
Les experts en cybersécurité recommandent aux utilisateurs d'être particulièrement vigilants face aux demandes de fourniture d'informations de connexion, même lorsqu'elles proviennent de canaux familiers au travail.
