Depuis janvier de cette année, les chercheurs en sécurité informatique d’Avanan, une filiale de CheckPoint, constatent une recrudescence des attaques contre les chats Microsoft Teams. Les pirates chargent un fichier exécutable malveillant en pièce jointe dans le chat des participants et des groupes Teams. Lors de son exécution, le fichier écrit UserCentric.exe données dans le registre Windows, installe des bibliothèques DLL et crée des raccourcis.

Finalement, elle prend le contrôle de l’ordinateur. Avanan explique avoir observé entre-temps des milliers d’attaques de ce type. Cette nouvelle voie d’attaque via Microsoft Teams permet aux cybercriminels de s’attaquer relativement facilement à des millions d’utilisateurs potentiels – selon les médias, 270 millions de personnes utilisent actuellement Teams.

Se faufiler …

Les pirates doivent d’abord obtenir l’accès aux équipes. Cela peut se faire de plusieurs manières, explique Avanan dans son blog. D’une part, les attaquants peuvent compromettre le réseau d’une organisation, par exemple par des failles de sécurité, et y écouter les chats. Mais ils pourraient aussi infiltrer et utiliser des adresses e-mail. Les cybercriminels sont devenus très expérimentés dans l’hameçonnage des accès à Microsoft 365. Et ces données d’accès peuvent également être utilisées par les équipes.

Dans la mesure où les pirates ont accès aux réseaux, ils peuvent également reconnaître les mesures de protection mises en place. Ils savent ainsi avec quel logiciel malveillant la protection contre les logiciels malveillants peut être contournée. Les chercheurs d’Avanan déplorent l’absence de mesures de protection standard contre les liens et les fichiers malveillants dans les équipes, ce qui limite les possibilités d’analyse de ces derniers.

Une confiance injustifiée

Les chercheurs en sécurité informatique expliquent que les utilisateurs finaux accordent une forte confiance aux équipes, contrairement aux e-mails par exemple. Lors d’une étude dans des hôpitaux, ils ont constaté que les médecins échangeaient sans restriction des informations médicales sur les patients au sein des équipes. Ils sont conscients des risques liés au partage de ces données par e-mail.

En outre, presque tous les utilisateurs peuvent également inviter d’autres utilisateurs dans des équipes et il n’y a guère de vue d’ensemble de qui a invité qui et où. En raison du manque de familiarité avec la plateforme Teams, beaucoup feraient simplement confiance à de telles demandes et les confirmeraient. Au sein d’une organisation, les pirates pourraient en outre très facilement prétendre être quelqu’un d’autre, qu’il s’agisse de la direction, du directeur financier ou de quelqu’un du département informatique.

Alors que de nombreux employés sont désormais formés pour remettre en question l’identité des e-mails, presque personne ne sait comment s’assurer de l’authenticité de la photo et du nom affichés dans une conversation d’équipe. Il est très facile d’éditer un profil et d’adopter presque toutes les identités que l’on souhaite.

Mesures de protection

Les chercheurs proposent des mesures de protection. Si quelqu’un joint des fichiers à des conversations d’équipe, les utilisateurs devraient se méfier et réfléchir à nouveau avant de les ouvrir. Surtout s’ils portent le nom User Centric porte.

Les services informatiques des entreprises devraient mettre en œuvre d’autres mesures pour se protéger contre les attaques futures. Il s’agit notamment de mettre en place une protection qui télécharge tous les fichiers dans une sandbox et les analyse. En outre, il convient d’utiliser un logiciel de protection robuste et complet qui couvre tous les moyens de communication professionnelle, y compris les équipes. Enfin, les chercheurs en sécurité informatique conseillent aux utilisateurs finaux de contacter le service informatique s’ils voient un fichier inhabituel.