Un faux « admin système » sur Microsoft Teams déploie EtherRAT

Un faux « admin système » sur Microsoft Teams déploie EtherRAT

Trois étapes. Un appel Microsoft Teams de votre administrateur système. Une prise en main à distance présentée comme une action du support. Et, au bout de la chaîne, un cheval de Troie qui pilote votre machine. Selon un rapport de l’équipe Unit 42 de Palo Alto Networks, une campagne de social engineering cible actuellement les utilisateurs pour installer le malware EtherRAT. Voici ce que l’on sait sur cette menace.

De l’e-mail piégé à l’appel Teams : un scénario bien rodé

L’attaque débute par un classique du phishing. La victime reçoit un e-mail au format HTML, prétendant concerner un sondage interne, accompagné d’un PDF piégé intitulé EE Survey – How to log on.pdf, destiné à être ouvert avec le lecteur PDF de l’ordinateur. Peu après, un appel vocal sur Microsoft Teams est reçu, où un compte externe usurpe l’identité d’un administrateur système de l’entreprise. D’après Unit 42, cet appel a été identifié comme externe, affichant la mention « Externe et inconnu » dans le client Teams.

L’objectif de cet appel est d’établir la confiance de la victime et de prendre le contrôle de la machine via la fonction de partage d’écran de Teams. L’utilisateur est alors guidé pour installer des outils de prise en main à distance, tels que HopToDesk et AnyDesk, permettant à l’attaquant de maintenir un accès persistant. Notamment, l’attaquant a ouvert le portail ServiceNow de l’entreprise pour créer un ticket de support, donnant à l’intrusion des allures d’assistance légitime.

EtherRAT : un C2 caché dans la blockchain Ethereum

Après avoir pris le contrôle de l’ordinateur, l’attaquant utilise une invite de commandes et curl.exe pour télécharger un installeur MSI malveillant, v7.msi, hébergé sur le domaine camorreado[.]click. Ce fichier agit comme un chargeur multi-étapes. Selon Unit 42, il suit la séquence suivante :

  • Téléchargement d’un runtime Node.js légitime (version v18.20.5), souvent présent sur les machines.
  • Déchiffrement de plusieurs charges embarquées via une chaîne de chiffrement en plusieurs passes.
  • Exécution finale du malware EtherRAT.

EtherRAT est un cheval de Troie d’accès à distance (RAT) qui accorde à l’attaquant un contrôle complet du système compromis : exécution de commandes, manipulation de fichiers, vol de données, et persistance via le Registre. Les serveurs de commande et de contrôle (C2) ne sont pas codés en dur dans le malware, mais récupérés via la blockchain Ethereum, rendant leur neutralisation plus complexe.

Cette campagne serait toujours active, les dernières mises à jour sur l’infrastructure des attaquants datant du 26 juin 2026.

De son côté, Microsoft Teams se renforce

Cette campagne s’inscrit dans une série d’attaques utilisant Microsoft Teams pour infiltrer les réseaux d’entreprise. Microsoft a décidé de réagir en introduisant plusieurs mes de protection dans Teams, notamment une protection anti-phishing signalant les interlocuteurs et messages externes. Une nouvelle stratégie d’administration place également les bots tiers suspects dans une salle d’attente, en attente d’une approbation manuelle par l’organisateur, bien que cela ne s’applique pas aux appels en 1-1.

Pour limiter le risque, il est conseillé de désactiver l’Assistance rapide sur Windows 11 et de ne pas utiliser d’outils de prise en main à distance non nécessaires. Un rapport de CrowdStrike publié fin 2025 a souligné que l’ingénierie sociale et le vishing avaient dépassé les malwares comme principales portes d’entrée : la sensibilisation des équipes demeure la meilleure défense contre ces menaces.

Source : Palo Alto Networks, Unit 42

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *