Microsoft met en garde contre une nouvelle menace de malware distribuée via les chats Teams

Microsoft a envoyé une alerte de cybersécurité concernant un acteur menaçant qui utilise les chats Microsoft Teams pour distribuer des logiciels malveillants. L’acteur menaçant a été qualifié de Storm-0324 et Microsoft affirme que ce groupe est actif depuis 2016.

Dans un article de blog , Microsoft a déclaré qu’en juillet 2023, « Storm-0324 a été observé en train de distribuer des charges utiles à l’aide d’un outil open source pour envoyer des leurres de phishing via les discussions Microsoft Teams. » Le blog a ajouté que le groupe distribuait principalement le malware JSSLoader depuis 2019. Ce malware peut ensuite être utilisé par un autre groupe d’acteurs malveillants connu sous le nom de Sangria Tempest pour placer des fichiers de ransomware sur un PC.

Microsoft a expliqué :

La chaîne de livraison de Storm-0324 commence par des e-mails de phishing faisant référence à des factures ou des paiements et contenant un lien vers un site SharePoint hébergeant une archive ZIP. Microsoft continue de travailler sur ses plateformes pour identifier les abus, supprimer les activités malveillantes et mettre en œuvre de nouvelles protections proactives pour décourager les acteurs malveillants d’utiliser nos services.

Microsoft ajoute que ces e-mails pourraient ressembler à de vrais documents provenant de sociétés comme DocuSign, Quickbooks et autres. Dans certains cas, ces fichiers nécessitent également que la victime du logiciel malveillant saisisse un code de sécurité ou un mot de passe. Cela peut rendre ces faux documents plus réalistes.

Microsoft affirme avoir pris plusieurs mesures pour empêcher la distribution de ces types de logiciels malveillants dans les discussions Teams. Cela inclut la suspension des comptes dont il est confirmé qu’ils se sont livrés à des activités frauduleuses.

Il a également ajouté des améliorations à l’expérience Accepter/Bloquer dans les discussions Teams en tête-à-tête. La société a également imposé de nouvelles restrictions sur « la création de domaines au sein des locataires et des notifications améliorées aux administrateurs des locataires lorsque de nouveaux domaines sont créés au sein de leur locataire ».

Microsoft répertorie également un certain nombre de façons dont les entreprises qui utilisent les chats d’équipe peuvent prendre des mesures préventives pour éviter d’être affectées par cette nouvelle attaque de phishing. Il s’agit notamment d’autoriser uniquement les appareils connus à se connecter à Teams, d’informer les employés sur la manière dont les attaques de phishing et de logiciels malveillants sont effectuées et d’examiner les activités de connexion suspectes.