Le groupe iranien MuddyWater a été lié à une nouvelle campagne de cyberattaques qui utilise Microsoft Teams comme vecteur d'entrée. Les attaquants se font passer pour le support technique de Microsoft afin de contacter leurs victimes, demandant un accès à distance ou l'installation de logiciels malveillants. Une fois à l'intérieur, ils volent des identifiants et des données sensibles, et déploient un faux ransomware pour détourner l'attention.
Technique d'usurpation et outils d'accès à distance 🛠️
Les attaquants initient la conversation sur Teams en se faisant passer pour le personnel du support technique, invoquant des problèmes de sécurité urgents. Sous ce prétexte, ils demandent à la victime d'installer des outils légitimes comme ScreenConnect ou AnyDesk. Une fois en contrôle à distance, les attaquants extraient les identifiants stockés dans le système et les données des applications d'entreprise. Enfin, ils déploient un ransomware qui ne chiffre pas les fichiers, mais simule seulement l'attaque pour dissimuler le vol réel d'informations.
Le faux ransomware : un classique pour rejeter la faute sur un autre 😅
Le meilleur dans tout ça, c'est qu'après avoir volé vos identifiants et données, les attaquants ont la courtoisie de laisser un faux ransomware pour que vous pensiez qu'il s'agissait d'une attaque générique et non d'une intrusion ciblée. C'est comme si un cambrioleur entrait chez vous, emportait le coffre-fort, et avant de partir laissait un mot disant c'est le voisin. Heureusement qu'ils ont au moins pris la peine de simuler le chiffrement, même si vos fichiers sont intacts et que votre compte Teams est déjà en vente sur le dark web.