Une campagne de phishing active détourne les usages quotidiens de Zoom, Teams et Meet. Derrière une simple invitation à une réunion se cache en réalité un accès administrateur persistant obtenu à l’aide d’outils parfaitement légitimes et signés.
L’urgence d’un appel qui n’existe pas
Les chercheurs du Threat Labs de Netskope observent plusieurs campagnes reposant sur un principe simple : reproduire fidèlement le quotidien numérique. L’utilisateur reçoit une invitation à une réunion Zoom, Microsoft Teams ou Google Meet. Rien d’inhabituel, jusqu’au moment de rejoindre l’appel.
La page d’accueil affichée est une copie presque parfaite du service visé, parfois agrémentée d’une liste de participants déjà connectés. Tout est conçu pour provoquer un réflexe immédiat. L’utilisateur veut éviter de manquer la réunion. C’est précisément ce que recherchent les attaquants.
Au moment de se connecter, un message apparaît : l’application serait obsolète ou incompatible. Pour participer, une « mise à jour logicielle obligatoire » doit être installée. La victime est alors redirigée vers un domaine typosquatté, comme zoom-meet.us, et télécharge le programme demandé.
Selon Netskope, « en présentant la charge malveillante comme un correctif technique critique pour une tâche légitime, les attaquants augmentent la probabilité que l’utilisateur ignore les alertes de sécurité ».
Une attaque sans malware apparent
Le fichier téléchargé n’est pourtant pas un malware classique. Il s’agit d’un outil de supervision et de gestion à distance parfaitement légitime, signé numériquement : Datto RMM, LogMeIn ou ScreenConnect.
Une fois exécuté, le logiciel offre aux cybercriminels un accès administratif complet au poste compromis. L’approche est redoutablement efficace car elle s’appuie sur des logiciels autorisés dans de nombreux environnements. Aucun code malveillant personnalisé n’est nécessaire.
En utilisant ces agents RMM, les attaquants se fondent dans le trafic normal et contournent les contrôles basés sur la signature. Ils peuvent transférer des fichiers, ouvrir un shell distant, observer l’écran ou se déplacer latéralement dans le réseau.
De la réunion fantôme au ransomware
L’objectif dépasse largement l’intrusion ponctuelle. Une fois l’accès établi, les attaquants disposent d’une plateforme persistante pour la post-exploitation. La collecte d’informations sensibles n’est qu’une première étape.
Ces outils étant conçus pour déployer massivement des logiciels, ils peuvent servir à diffuser d’autres charges à l’ensemble de l’environnement compromis. Une seule machine suffit alors à provoquer une compromission globale, jusqu’au déploiement massif de ransomwares.
Netskope résume la mécanique : « en obtenant un accès administratif, les pirates contournent les filtres de sécurité traditionnels et s’installent durablement pour mener des actions graves, allant de la collecte de données à la diffusion massive de ransomwares ».
La réunion n’a jamais existé. Mais la présence de l’attaquant, elle, peut durer longtemps.
