De faux installateurs signés de Teams, Zoom ou Acrobat Reader circulent actuellement dans plusieurs campagnes de phishing. Derrière ces téléchargements piégés, des outils d’administration à distance permettent aux attaquants de conserver un accès durables aux machines compromises.
Repérées en février 2026 par les équipes de Microsoft Defender, plusieurs campagnes de phishing diffusent de faux installateurs de Microsoft Teams, Zoom ou encore Adobe Acrobat Reader afin d’inciter leurs victimes à installer des outils d’administration à distance capables de prendre le contrôle d’une machine. Les exécutables sont par ailleurs signés avec des certificats numériques valides, un détail qui renforce leur crédibilité et facilite leur exécution sur les systèmes ciblés.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un installateur signé, trois outils de prise de contrôle à distance
D’après Microsoft, l’intrusion démarre de façon assez classique par des mails de phishing jouant sur des usages très ordinaires en entreprise (document à consulter, invitation à une réunion, notification qui appelle une action rapide), renvoyant vers des pages frauduleuses usurpant celles d’éditeurs connus, pour pousser au téléchargement d’un prétendu logiciel nécessaire à l’accès au contenu.
Particularité de ces fichiers, ils sont signés numériquement avec un certificat Extended Validation attribué à TrustConnect Software PTY LTD, ce qui renforce leur légitimité apparente et peut réduire la méfiance au moment de l’exécution.
Une fois lancés, ces programmes déclenchent des commandes PowerShell encodées afin de récupérer et d’installer des outils d’administration à distance. Microsoft cite notamment ScreenConnect, Tactical RMM ou MeshAgent, des logiciels couramment utilisés pour l’administration de parc informatique mais détournés ici pour permettre aux attaquants de prendre la main sur la machine.
Les composants déposés cherchent ensuite à s’ancrer dans le système. Des copies sont placées sous C:\Program Files afin de renforcer l’illusion d’un logiciel installé comme il faut, tandis que des services Windows et des entrées de démarrage sont créés pour assurer la relance automatique de l’accès distant.
Dernier point, les attaquants ne misent pas sur un seul outil. Microsoft indique que plusieurs solutions RMM peuvent être déployées au cours d’une même intrusion, une redondance qui leur permet de conserver l’accès même si l’un des logiciels est détecté et supprimé.
Quelques réflexes pour éviter le piège
Comme d’habitude, ce type de campagne repose sur des situations très ordinaires en environnement professionnel. Une invitation à une réunion, un document à consulter ou un logiciel présenté comme obsolète suffisent souvent à déclencher un téléchargement sans que l’on prenne le temps de vérifier l’origine du programme.
Dans les faits, les éditeurs comme Microsoft, Zoom ou Adobe ne distribuent pas leurs logiciels via des liens envoyés par mail. Lorsqu’une mise à jour est nécessaire, elle passe généralement par le logiciel lui-même ou par le site officiel de l’éditeur.
L’apparition surprise d’un outil d’administration à distance sur un poste de travail doit également retenir l’attention. Dans la plupart des entreprises, ces logiciels sont déployés par les équipes informatiques et rarement installés à l’initiative d’un utilisateur. Voir apparaître des solutions comme ScreenConnect ou Tactical RMM peut donc constituer un signal d’alerte. Dans le doute, signalez l’incident et faites vérifier l’installation, parce qu’une suppression rapide règle parfois l’affichage, pas forcément l’accès.
Microsoft recommande enfin aux organisations de limiter l’usage des outils de gestion à distance aux logiciels autorisés et de bloquer l’exécution des programmes non approuvés. Des politiques comme WDAC ou AppLocker permettent de contenir ce qui peut s’exécuter sur les postes, y compris en bloquant certains certificats de signature, et des protections comme Safe Links, Safe Attachments ou SmartScreen peuvent couper court aux liens et téléchargements piégés. Des mesures simples, mais toujours efficaces.
Source : Microsoft
