Des pirates informatiques utilisent des publicités pour de fausses mises à jour de Microsoft Teams dans le but de déployer des portes dérobées, utilisant Cobalt Strike afin d’infecter les réseaux d’entreprises avec des logiciels malveillants.

Selon un rapport publié dans Bleeping Computer, Microsoft prévient ses clients contre les campagnes appelées « FakeUpdates » dans un avis de sécurité non public. Cette campagne vise divers types d’entreprises, avec de récentes cibles dans le secteur de l’éducation, où les organisations qui dépendent en ce moment de l’utilisation d’applications comme Teams pour la vidéoconférence à cause des limitations imposées en cette période de pandémie.

Microsoft a déclaré dans un avis avoir vu des attaquants dans la dernière campagne FakeUpdates utiliser des publicités sur les moteurs de recherche afin de pousser les meilleurs résultats du logiciel Teams vers un domaine qu’ils contrôlent et utilisent pour des activités malveillantes. Dans le cas où la victime clique sur le lien, une charge utile exécutant un script PowerShell sera téléchargée. Parmi les logiciels malveillants distribués par la campagne, il existe Predator the Thief infostealer. Celui-ci permet de voler les données sensibles telles que les informations d’identification et les données des navigateur et de paiement.

Microsoft a proposé certaines techniques d’atténuation pour la dernière vague d’attaques FakeUpdates. Elle recommande aux clients d’utiliser des navigateurs Web permettant de faire le filtre et le blocage des sites Web malveillants, et de s’assurer que les mots de passe des administrateurs locaux sont robustes et ne peuvent pas être facilement devinés. Il faudrait également s’assurer de restreindre les privilèges d’administrateur aux utilisateurs essentiels et éviter les comptes de service du domaine ayant des autorisations similaires à ceux de l’administrateur. Il est aussi possible de limiter la surface d’attaque afin de tenir les attaquants à distance en bloquant les fichiers exécutables qui ne répondent pas à des critères particuliers ou bien en bloquant le téléchargement du contenu exécutable par JavaScript et VBScript.