Sans catégoriesSécurité des applications

Des hackers créent de faux portails Microsoft Teams pour diffuser des malwares

Photo of Olivier Gouin Olivier Gouin Follow on Twitter avril 6, 2026
0 360 4 minutes de lecture
Employés analysant une fausse invitation Microsoft Teams au bureau
Des campagnes d’hameçonnage imitent Teams pour pousser des téléchargements malveillants.

Des attaquants détournent la confiance accordée à Microsoft Teams en créant de faux domaines et des pages quasi identiques à l’interface officielle. Le but est simple, te pousser à cliquer sur un lien de réunion, puis à télécharger une « mise à jour » qui installe une charge malveillante, souvent un cheval de Troie d’accès à distance.

Le schéma vise surtout des profils exposés aux échanges externes, dans la tech, la finance et le conseil. Les chercheurs décrivent des chaînes d’attaque qui mélangent messages Teams, liens de réunion et services légitimes, ce qui brouille les signaux d’alerte. Microsoft et plusieurs sociétés de sécurité mettent en garde contre ces campagnes, parce qu’elles ouvrent la porte au vol de données, à la prise de contrôle de session et à des déploiements de malwares plus lourds.

UNC1069 imite Microsoft Teams pour pousser un faux « update »

Une campagne attribuée au groupe UNC1069, associé à la Corée du Nord, s’appuie sur des domaines qui ressemblent à ceux de Microsoft Teams. Le scénario commence par un lien de réunion crédible, puis tu arrives sur une page qui copie le design Teams, boutons, typographies, messages système. L’objectif est de réduire ton doute au minimum, parce que tout ressemble à un flux de travail normal.

Le piège le plus décrit est un message d’urgence lié au TeamsFx SDK, présenté comme « déprécié » et nécessitant une mise à jour immédiate. Tu penses corriger un souci technique, mais le fichier proposé contient une charge malveillante, souvent un RAT (Remote Access Trojan). Une fois installé, l’attaquant peut garder un accès persistant, aspirer des données sensibles, puis déposer d’autres outils.

Le ciblage n’est pas aléatoire. Les professionnels qui enchaînent réunions, appels et partages de fichiers ont moins de temps pour vérifier une URL, surtout si la demande tombe pendant une journée chargée. Des services considérés comme fiables, par exemple des outils de planification de rendez-vous, peuvent être intégrés au parcours, ce qui ajoute des « points de confiance » successifs. Résultat, la fraude se fond dans la routine, et ton clic devient l’étape décisive.

Des messages « IT Support » sur Teams déclenchent PowerShell et accès à distance

D’autres campagnes ne passent pas uniquement par de faux sites, elles utilisent Teams comme canal de contact direct. Des attaquants créent ou compromettent des tenants, puis t’écrivent en tête-à-tête en se faisant passer pour le support interne, avec des noms du type « Help Desk » ou « IT SUPPORT ». C’est basique, mais ça marche, parce que l’autorité supposée et le contexte professionnel font baisser ta vigilance.

Dans un cas analysé par des chercheurs, Teams sert de vecteur initial pour livrer une charge basée sur PowerShell. Le principe est de te guider, pas à pas, vers une action « technique » présentée comme normale, ouvrir un lien, lancer une commande, installer un outil. Les variantes existent depuis au moins mai 2024, et des rapports publics ont relié des méthodes proches à des campagnes associées à Black Basta.

Microsoft rappelle que l’écosystème Teams attire aussi des acteurs spécialisés, avec des outils dédiés à l’hameçonnage sur messageries d’entreprise. On voit également des approches hybrides, recherche sponsorisée menant à un faux installateur, ou appels Teams qui basculent vers une prise en main à distance. Et là, nuance importante, l’attribution reste délicate, car plusieurs groupes réutilisent les mêmes recettes. Ce qui compte, c’est l’effet, une exécution de code et une escalade rapide.

Quick Assist, AnyDesk, DLL sideloading: la prise de contrôle s’étend au réseau

Une autre mécanique combine pression psychologique et assistance à distance. Des victimes voient leur messagerie inondée, puis un faux technicien propose une solution via Quick Assist. Une fois la session lancée, l’attaquant dépose un malware, dont A0Backdoor a été cité dans des observations récentes. Le but n’est pas seulement de « planter » un fichier, c’est de prendre la main sur la machine pour enchaîner les étapes.

Dans des incidents décrits par des équipes de défense, l’attaquant pousse aussi l’installation d’outils comme AnyDesk après un appel Teams venant d’un domaine externe peu familier. Une fois l’accès obtenu, il peut modifier des sessions de navigateur, récupérer des identifiants en cache et tenter des mouvements latéraux. Un point qui inquiète particulièrement les défenseurs est l’usage de jetons de session actifs, qui peuvent permettre d’accéder à des applications cloud sans déclencher de nouveaux défis MFA.

Sur la partie technique, certaines charges s’appuient sur le DLL sideloading en se déguisant en composants Teams, ce qui facilite l’exécution et la persistance. Les conséquences dépassent le poste compromis, règles de messagerie modifiées, accès non autorisé à des fichiers, relais pour d’autres attaques. La critique à garder en tête est simple, trop d’entreprises traitent Teams comme un canal « sûr par défaut ». Or, un nouvel interlocuteur externe, ou un domaine jamais vu sur une période courte, doit déclencher une vérification immédiate.

À retenir

  • Des faux domaines et pages Teams servent à livrer des RAT via de fausses “mises à jour”.
  • Teams est aussi utilisé pour l’ingénierie sociale, faux support IT et charges PowerShell.
  • L’accès à distance (Quick Assist, AnyDesk) accélère le vol de données et le mouvement latéral.
  • La détection des nouveaux domaines externes et des tenants inconnus devient un contrôle prioritaire.

Questions fréquentes

Comment reconnaître une fausse page Microsoft Teams liée à une réunion ?
Les campagnes décrites misent sur des domaines qui ressemblent à Teams et sur une interface copiée. Le signal le plus fréquent est une demande urgente de téléchargement, par exemple une “mise à jour” liée au TeamsFx SDK. Si une réunion te demande d’installer un correctif pour rejoindre l’appel, coupe le processus et vérifie l’URL et l’identité de l’organisateur via un canal indépendant.
Pourquoi ces attaques visent souvent la tech, la finance et le conseil ?
Ces secteurs multiplient les échanges externes, les réunions et les documents partagés, souvent sous contrainte de temps. Les attaquants profitent de cette cadence pour faire passer un lien frauduleux pour une étape normale du travail, ce qui augmente les chances d’interaction et réduit la vérification manuelle.
Quel est le risque principal après l’installation de la charge malveillante ?
Les charges observées incluent des chevaux de Troie d’accès à distance, capables de maintenir une présence persistante, voler des données et déposer d’autres malwares. Avec une prise en main à distance, l’attaquant peut aussi manipuler des sessions, récupérer des identifiants en cache, et tenter d’accéder à d’autres services de l’entreprise.
Que doit surveiller une entreprise côté Teams pour détecter plus tôt ?
Un indicateur opérationnel utile est l’apparition de domaines externes ou de tenants jamais vus récemment dans l’environnement, surtout si l’appel ou le chat se présente comme du support IT. Le contrôle des invitations externes, la mise en liste de confiance des partenaires habituels et l’alerte sur les nouveaux domaines réduisent la fenêtre d’attaque.

Sources

Tags
Afficher plus
Photo of Olivier Gouin

Olivier Gouin

Olivier occupe aujourd'hui la fonction de Coordonnateur Régional sur la Zone Ouest (défense) du Réseau des Experts Cyber Menaces de la Police Nationale - Le RECyM depend de l'Office Anti-Cybecriminalité (OFAC). Son parcours illustre une synergie unique entre les univers de la défense et du monde civil, du public comme du privé, dans des domaines de la haute technologique, de la sécurité de l'information, de l'industrie et du secteur des services, de la gestion des risques et des assurances. Son expertise s'étend également à la formation spécialisée, notamment auprès des Compagnies d'assurances, des Courtiers et des Agents Géneraux sur les risques liés au numerique et à la cybersécurité. Très présent dans le monde de l'innovation technologique et du numérique, il a accompagné des projets et des programmes dans les secteurs technologiques de pointes et dans un environnement dual. Il a été également co-fondateur du Clusir Bretagne

Articles similaires

Photo of PyPI compromis par un clone de LiteLLM qui siphonnait les secrets des développeurs

PyPI compromis par un clone de LiteLLM qui siphonnait les secrets des développeurs

avril 6, 2026
Photo of Anthropic retire Claude d’OpenClaw, les développeurs contraints de migrer vers l’API

Anthropic retire Claude d’OpenClaw, les développeurs contraints de migrer vers l’API

avril 4, 2026
Photo of Profilage des utilisateurs : LinkedIn scanne en secret 6 236 extensions Chrome

Profilage des utilisateurs : LinkedIn scanne en secret 6 236 extensions Chrome

avril 4, 2026
Photo of Cyberattaques et musées: Vivaticket expose l’angle mort de la sécurité des grands sites français

Cyberattaques et musées: Vivaticket expose l’angle mort de la sécurité des grands sites français

mars 30, 2026

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer