Microsoft Teams a récemment été la cible d'une nouvelle campagne de phishing qui a été détectée pour la première fois à la fin d'août 2023. Cette campagne a impliqué des messages malveillants provenant de deux comptes Office 365 compromis, qui ont été diffusés dans diverses organisations. Les messages incitaient les destinataires à télécharger un fichier ZIP apparemment inoffensif, trompeusement intitulé "Changements dans le calendrier des vacances".
De plus, d'autres services tels que Google Docs, Slide et Looker Studio ont également été touchés par des attaques similaires de phishing.
Malheureusement, certaines victimes, peu méfiantes, ont cliqué sur cette pièce jointe, déclenchant ainsi le téléchargement du fichier ZIP à partir d'une URL SharePoint. Cependant, ce qui semblait être un fichier PDF inoffensif à l'intérieur du ZIP s'est avéré être un fichier LNK contenant un dangereux VBScript. L'exécution de ce script a entraîné l'installation d'une redoutable souche de logiciels malveillants connue sous le nom de DarkGate.
DarkGate, le malware au cœur de cette campagne, existe depuis 2017, mais il était auparavant utilisé de manière limitée par un groupe restreint de cybercriminels qui visaient des cibles spécifiques.
DarkGate est un logiciel malveillant polyvalent et puissant, capable d'une variété d'activités néfastes, notamment l'accès à distance via hVNC, le minage de cryptomonnaies, les attaques par shell inversé, le keylogging, le vol de données du presse-papiers et l'exfiltration d'informations sensibles, y compris des fichiers et des données de navigation. Une enquête menée par la société de cybersécurité Truesec a révélé que le processus de téléchargement utilisait astucieusement Windows cURL pour récupérer le code du logiciel malveillant.
De plus, le VBScript était précompilé, et ses éléments malveillants étaient habilement dissimulés dans le fichier, ce qui le rendait plus difficile à détecter par les systèmes de sécurité.
Il convient de noter que ce n'est pas la première fois que des problèmes de sécurité sont liés à Microsoft Teams. Récemment, une vulnérabilité a été découverte qui permettait à des messages provenant de comptes externes de pénétrer dans la boîte de réception d'une organisation, ce qui ne devrait pas être possible. Il semble que la campagne DarkGate ait également exploité cette vulnérabilité pour mener à bien ses attaques.