Une vague de phishing cible depuis un moment les utilisateurs de Microsoft Teams, Zoom et Google Meet. Les cybercriminels exploitent de fausses mises à jour pour installer des outils de contrôle à distance.

Attention à cette arnaque qui se propage via Meet, Zoom et Microsoft Teams. © Netskope
Attention à cette arnaque qui se propage via Meet, Zoom et Microsoft Teams. © Netskope

« Cliquez ici pour rejoindre la réunion », voilà une phrase anodine, répétée des dizaines de fois par jour dans les open spaces. Les pirates informatiques l'ont bien compris et se ne gênent pas de l'exploiter. Le Threat Labs de Netskope alerte en ce pas très beau mois de février, en livrant des détails sur une campagne de phishing qui transforme nos visioconférences quotidiennes en vecteurs d'infection, et qui commence à être bien documentée. Les attaquants créent des pages frauduleuses qui imitent Teams, Zoom et Google Meet, puis piègent les victimes avec de fausses mises à jour logicielles. Sauf que derrière ces fichiers se cachent des outils de contrôle à distance légitimes, détournés à des fins malveillantes.

Comment les pirates créent de fausses pages de visioconférence

Tout commence par une invitation à une visioconférence en apparence banale. Sur la fausse page Teams, Zoom ou Google Meet, vous voyez des collègues déjà connectés, avec leurs avatars et noms qui s'affichent. D'autres participants rejoignent même l'appel sous vos yeux, ce qui renforce l'authenticité du leurre. Vous cliquez alors sur « Rejoindre » sans méfiance. C'est là que le piège se déclenche.

Un message d'erreur apparaît, convaincant en ce qu'il vous indique que votre logiciel serait obsolète, incompatible. Pour participer, vous devez donc télécharger une mise à jour. L'urgence fait son œuvre. Car dans l'esprit de la personne piégée, il serait malvenu de louper cette réunion avec la direction ou ce rendez-vous client crucial. Les attaquants ont même enregistré des domaines comme zoom-meet.us pour parfaire leur mise en scène.

L'astuce est imparable. Certains sites frauduleux vont jusqu'à proposer un tutoriel détaillé pour « installer la mise à jour ». Capture d'écran à l'appui, étape par étape, comme le ferait un vrai service technique. Cette sophistication pousse les victimes à ignorer elles-mêmes les alertes de sécurité pour ne pas manquer leur réunion. L'autoroute est libre pour les pirates, si vous vous laissez avoir.

Ici, les hackers ont malheureusement tout prévu, en donnant carrément des instructions d'installation aux couleurs de Zoom. © Netskope
Ici, les hackers ont malheureusement tout prévu, en donnant carrément des instructions d'installation aux couleurs de Zoom. © Netskope

Des logiciels légitimes transformés en chevaux de Troie

Le fichier téléchargé s'appelle GoogleMeeet[.]exe (vous aurez noté ici la subtilité des trois « e »), ou ZoomWorkspaceinstallersetup[.]msi. Mais derrière ces noms rassurants se cache autre chose : LogMeIn, Datto RMM, ou ScreenConnect. Il faut savoir que ces logiciels de maintenance à distance sont utilisés de façon tout à fait légitime au quotidien par les équipes IT du monde entier. Leur particularité, c'est qu'ils sont signés numériquement par leurs éditeurs légitimes.

Et justement, cette signature numérique est un peu le sésame qui ouvre toutes les portes aux cybercriminels. Car les antivirus traditionnels ne bronchent pas face à ces outils reconnus comme fiables. Résultat, les pirates installent tranquillement leur arsenal sans déclencher la moindre alerte. Une fois en place, ces logiciels RMM offrent un contrôle administratif total sur la machine infectée.

Les capacités de ces outils sont redoutables. Elles vont du transfert de fichiers à la prise de contrôle de l'écran, en passant par l'exécution de commandes à distance et la navigation dans le réseau d'entreprise. Ces RMM étant conçus pour déployer massivement des logiciels, les attaquants peuvent propager un ransomware sur l'ensemble d'une infrastructure en quelques clics, et c'est sans doute le pire. Bref, un cauchemar pour les DSI.