16/05/2024
IT-Connect » Actualités » Actu Cybersécurité » Une campagne de phishing sur Microsoft Teams vise à distribuer le malware DarkGate

Actu Cybersécurité

Une campagne de phishing sur Microsoft Teams vise à distribuer le malware DarkGate

Florian BURNEL 1 commentaire

Une nouvelle campagne de phishing a été repérée sur Microsoft Teams : si un utilisateur se fait piéger, sa machine est infectée par le logiciel malveillant DarkGate. Faisons le point sur cette menace.

Cette campagne repérée par Truesec et Deutsche Telekom CERT a débuté à la fin du mois d'août 2023 et elle s'appuie sur des comptes Microsoft Teams déjà compromis pour envoyer des messages malveillants aux utilisateurs d'autres organisations. Une fois de plus, c'est le bug dans Microsoft Teams mis en évidence par l'outil TeamsPhisher qui est exploité par les cybercriminels.

Cette fois-ci, et même si cela peut sembler tardif (enfin, cela doit dépendre des pays...), ce sont les vacances qui sont prises comme sujet principal pour tenter de tromper les utilisateurs. En effet, les utilisateurs sont invités à télécharger ou ouvrir un fichier ZIP avec l'intitulé "Modifications du calendrier des vacances." envoyé par les ressources humaines de l'entreprise.

Microsoft Teams - Phishing DarkGate
Source : truesec.com

Hébergée sur un espace de stockage SharePoint, cette archive contient un fichier LNK qui se fait passer pour un document PDF, alors qu'il s'agit en vérité de code malveillant VBScript. Ceci va permettre, à partir de l'outil cURL de Windows, de télécharger d'autres fichiers malveillants à partir d'un serveur distant.

Après avoir effectué quelques vérifications, notamment la présence de la solution de sécurité Sophos, le script construit l'exécutable du malware DarkGate et l'exécute en mémoire sur la machine Windows.

Ce malware est utilisé par certains cybercriminels depuis 2017. Il offre diverses fonctionnalités comme la prise en main à distance via hVNC, l'enregistrement de la saisie au clavier (keylogger), le déploiement d'un reverse shell, le vol du contenu du presse-papiers ou encore le vol de données à partir des volumes de l'ordinateur et des navigateurs Web. Comme c'est le cas ici, il est souvent distribué dans le cadre de campagnes de phishing ou de malvertising.

Le rapport de l'entreprise Truesec est disponible sur cette page.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Sécurité : présentation de l’EDR « made in France » de Nucleon Security

Florian BURNEL 2
Opération Cronos - Identité des membres de LockBit - Mai 2024

Opération Cronos : les autorités sur le point de révéler l’identité des membres de LockBit ?

Florian BURNEL 0
Google Ads - Ransomware Royal

Les publicités Google Ads utilisées par des pirates pour distribuer un malware redoutable !

Florian BURNEL 0

1 commentaire sur “Une campagne de phishing sur Microsoft Teams vise à distribuer le malware DarkGate

  • Sylvain Marchand
    16/09/2023 à 16:41
    Permalink

    Nous en avons été victimes hier, attaque ciblée sur l’entreprise avec le nom d’un DRH comme émetteur du message.
    Nous avons bloqués l’usage du chat avec les externes, si vous savez juste bloquer les nouvelles conversations je suis preneur car je sèche.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.