De nouvelles attaques de phishing abusent des demandes de chat de groupe Microsoft Teams pour envoyer des pièces jointes malveillantes qui installent des charges utiles de malware DarkGate sur les systèmes des victimes. Les attaquants ont utilisé ce qui semble être un utilisateur (ou un domaine) Teams compromis pour envoyer plus de 1 000 invitations malveillantes à des discussions de groupe Teams, selon les recherches d'AT&T Cybersecurity. Paolo Passeri, Cyber Intelligence Specialist chez Netskope, a fait le commentaire suivant : « Le malware DarkGate a été développé en 2017 et commercialisé en tant que MaaS (Malware-as-a-Service). La campagne a récemment fait la Une des médias après avoir été découverte dans des groupes de discussion sur Microsoft Teams, qui compte 280 millions d'utilisateurs par mois. Alors que le DarkGate Loader était initialement distribué via des emails de phishing, l'année dernière, les attaquants ont fait évoluer leur méthodologie d'attaque et ont commencé à exploiter plusieurs services cloud pour la distribution. Ce n'est pas la première fois qu’il est actif dans Microsoft Teams - en août de l'année dernière, DarkGate a déjà eu recours à l’application pour diffuser sa charge utile (qui était hébergée sur un site Microsoft SharePoint). Ce qu'il est important de noter, c'est que ce dernier développement est tout à fait conforme à la tendance plus large des cybercriminels qui utilisent des applications cloud en de multiples points de la chaîne d'exécution de leur attaque. Les applications cloud permettent une charge utile malveillante flexible et une infrastructure cloud flexible pour l'acheminer. 46 % des logiciels malveillants ont été diffusés à partir du cloud en décembre 2023. Il n'est donc pas surprenant que les cybercriminels recherchent constamment une chaîne d'attaque de plus en plus complexe où de multiples services légitimes sont intégrés ; dans le seul but d'inciter les victimes à télécharger la charge utile malveillante et d'échapper aux technologies de sécurité web (et de messagerie) existantes qui ne tiennent pas compte des instances, ne sont pas adaptées à l'inspection du trafic SSL à l'échelle et ne prennent donc pas en compte le contexte. Les organisations doivent s'assurer que la sécurité du cloud est en tête de leur liste de priorités tactiques en matière de cybersécurité pour 2024, car les attaquants vont continuer à tirer parti de toutes les failles existantes. » |