Une campagne de phishing a compromis plus de 80 organisations, en utilisant des outils légitimes d'accès à distance comme SimpleHelp et ScreenConnect. Les attaquants trompent les victimes pour qu'elles installent ces programmes, obtenant un contrôle total des systèmes. Une fois à l'intérieur, ils volent des identifiants, déploient des logiciels malveillants et établissent une persistance dans les réseaux affectés.
Comment les attaquants opèrent avec des RMM légitimes 🛡️
Les attaquants envoient des e-mails ou des messages simulant un support technique, incitant la victime à télécharger SimpleHelp ou ScreenConnect. Une fois exécuté, le logiciel légitime permet le contrôle à distance sans éveiller les soupçons des antivirus. Ensuite, les agresseurs déploient des charges malveillantes comme des voleurs d'identifiants, des ransomwares ou des portes dérobées, et modifient les configurations du système pour assurer leur accès continu.
Le support technique que personne n'a demandé ni ne veut 🚨
Il s'avère que la meilleure façon de s'infiltrer dans une entreprise n'est pas avec des exploits complexes, mais en demandant gentiment d'installer un programme de contrôle à distance. Les attaquants agissent comme ce technicien qui apparaît sans prévenir, vous dit que votre PC a un virus, puis vous vole vos mots de passe. Le pire, c'est que le logiciel est légal ; le délit, c'est qu'on vous l'ait vendu comme support officiel.