Security

Phishing EV : faux installateurs Teams déploient RMM

3 min de lecture

Résumé

Microsoft Defender Experts a repéré des campagnes de phishing où des attaquants se font passer pour des installateurs Teams, Zoom ou Adobe afin de pousser des exécutables trompeurs et déployer des outils RMM légitimes pour prendre pied dans les environnements d’entreprise. L’usage de pages de téléchargement usurpées, de faux PDF et de signatures de code EV rend ces attaques plus crédibles et dangereuses, car elles contournent plus facilement la méfiance des utilisateurs et les contrôles de sécurité.

Besoin d'aide avec Security ?Parler à un expert

Introduction : pourquoi c’est important

Les acteurs malveillants se fondent de plus en plus dans les opérations IT légitimes en déployant des outils de Remote Monitoring and Management (RMM) disponibles dans le commerce. Cette campagne place la barre encore plus haut en utilisant une image de marque familière de « workplace apps » et la signature de code EV pour réduire la méfiance des utilisateurs et augmenter les taux d’exécution — ce qui en fait une voie d’accès initiale pragmatique dans les entreprises où les utilisateurs installent régulièrement des logiciels de réunion et de lecture de documents.

Nouveautés / principaux constats

Microsoft Defender Experts a observé plusieurs campagnes de phishing attribuées à un acteur non identifié. Les principales caractéristiques incluent :

  • Appâts “réunions” et “documents” : des emails se faisaient passer pour des invitations à des réunions (Teams/Zoom/Google Meet), des factures, des documents financiers, des appels d’offres et des notifications organisationnelles.
  • PDF contrefaits et pages de téléchargement usurpées : certains messages livraient de faux PDF avec un bouton « Open in Adobe » redirigeant les utilisateurs vers un site de téléchargement Adobe imité, incitant à une « mise à jour ».
  • Exécutables déguisés : les charges utiles portaient des noms ressemblant à des installateurs de confiance, notamment msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe et trustconnectagent.exe.
  • Abus de confiance via la signature EV : les droppers étaient signés numériquement avec un certificat EV délivré à TrustConnect Software PTY LTD, ce qui les aidait à paraître légitimes.
  • Déploiement de portes dérobées RMM : l’exécution entraînait l’installation d’outils RMM tels que ScreenConnect, Tactical RMM et Mesh Agent, permettant un accès distant persistant.

Comment l’intrusion établit la persistance (points techniques)

Dans la chaîne centrée sur ScreenConnect, l’exécutable « workspace » :

  • Se copiait dans C:\Program Files pour ressembler à une application légitimement installée.
  • S’enregistrait comme service Windows pour assurer la persistance au démarrage.
  • Créait un autorun supplémentaire via la clé Run :
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Nom de valeur : TrustConnectAgent
    • Cible : C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • Établissait des connexions sortantes vers l’infrastructure de l’attaquant (notamment trustconnectsoftware[.]com).
  • Utilisait PowerShell encodé pour télécharger des charges utiles additionnelles et invoquait msiexec.exe pour installer ScreenConnect à partir de fichiers MSI prépositionnés.

Microsoft a signalé des cas où le MSI semblait non signé, suivis de binaires ScreenConnect signés avec des certificats révoqués, un schéma souvent associé à des déploiements malveillants ou non autorisés.

Impact pour les administrateurs IT et les utilisateurs finaux

  • Les utilisateurs sont ciblés via des workflows routiniers : rejoindre des réunions, examiner des factures et mettre à jour des applications « obsolètes ».
  • Les équipes IT et sécurité peuvent voir l’activité de l’attaquant se confondre avec l’outillage d’administration normal, car les agents RMM peuvent ressembler à du support à distance autorisé.
  • Le risque augmente après compromission : la persistance via services/autoruns et l’outillage RMM peut accélérer l’accès aux identifiants, la prise de contrôle à distance et le mouvement latéral.

Mesures à prendre / prochaines étapes

  • Renforcer les voies d’installation logicielle : restreindre, lorsque possible, les installations initiées par les utilisateurs ; imposer l’allowlisting (p. ex. WDAC/App Control) pour les exécutables de type « installateur ».
  • Auditer l’usage des RMM : inventorier les outils RMM approuvés et bloquer ou déclencher des alertes sur les agents non autorisés (ScreenConnect/Tactical RMM/Mesh) et sur toute création de service suspecte.
  • Réévaluer les décisions de confiance liées à la signature de code : considérer « signed » comme un signal — pas une preuve. Ajouter une logique de détection pour les éditeurs nouveaux/rares et les binaires EV signés inhabituels.
  • Rechercher des indicateurs de persistance : surveiller la clé Run TrustConnectAgent, les services inattendus et les schémas suspects associant msiexec.exe et PowerShell encodé.
  • Renforcer la résilience au phishing : consolider les consignes utilisateurs autour des invites « update required » provenant d’emails/PDF et utiliser les protections Defender pour faire exploser/inspecter les pièces jointes et les liens.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
Microsoft DefenderphishingRMMScreenConnectcode signing

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

CTI-REALM open source : benchmark IA cybersécurité

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.