Microsoft Teams

🎯 Contexte Publié le 18 avril 2026 par la Microsoft Defender Security Research Team, cet article documente une chaîne d’intrusion complète exploitant les fonctionnalités de collaboration inter-tenant de Microsoft Teams pour mener des attaques d’ingénierie sociale, d’accès distant non autorisé et d’exfiltration de données. 🔗 Chaîne d’attaque L’intrusion se déroule en plusieurs étapes distinctes : Stage 1 – Contact initial (T1566.003) : L’attaquant initie une communication Teams depuis un tenant externe en se faisant passer pour du personnel IT/helpdesk. Des leurres tels que « Microsoft Security Update », « Spam Filter Update » ou « Account Verification » sont utilisés. Le vishing peut compléter ou remplacer la messagerie. ...

🔍 Contexte Source : Zscaler ThreatLabz, publiée le 16 avril 2026. Cette analyse technique détaille le fonctionnement du ransomware Payouts King, attribué à d’anciens initial access brokers (IAB) de BlackBasta, actif discrètement depuis environ un an. 🎯 Vecteur d’accès initial Les attaquants combinent plusieurs techniques : Spam bombing massif ciblant les victimes Phishing et vishing via Microsoft Teams, en usurpant l’identité d’un membre du support IT Instruction à la victime d’initier Quick Assist pour déployer le malware et établir un point d’ancrage réseau 🛠️ Techniques d’obfuscation et d’évasion Construction et déchiffrement de chaînes sur la pile (stack-based strings) Résolution des fonctions Windows API par hash (FNV1 avec seed unique par valeur + algorithme CRC personnalisé) Arguments de ligne de commande obfusqués via CRC checksum custom Paramètre -i obligatoire pour déclencher le chiffrement (anti-sandbox) Utilisation de syscalls directs (Zw*) pour contourner les hooks AV/EDR Renommage des fichiers via SetFileInformationByHandle (FileRenameInfo) pour éviter la détection sur MoveFile/MoveFileEx 🔐 Chiffrement des fichiers Combinaison RSA 4096 bits + AES-256 en mode CTR (bibliothèque OpenSSL liée statiquement) Support code pour ChaCha20 présent mais non utilisé dans les échantillons analysés Extension ajoutée aux fichiers chiffrés : .ZWIAAW Fichier de sauvegarde temporaire : extension .esVnyj Note de rançon : readme_locker.txt (déposée uniquement si -note est spécifié) Chiffrement partiel (13 blocs, 50%) pour les fichiers > 10 Mo (optimisation performance) ⚙️ Persistance et élévation de privilèges Tâches planifiées créées via schtasks.exe sous \Mozilla\UpdateTask et \Mozilla\ElevateTask Exécution en tant que SYSTEM Suppression de la tâche d’élévation après exécution pour effacer les traces forensiques 🧹 Anti-forensique Suppression des shadow copies : vssadmin.exe delete shadows /all /quiet Vidage de la corbeille via SHEmptyRecycleBinW Effacement des journaux d’événements Windows via EvtClearLog Terminaison de 131 processus AV/EDR identifiés par checksum 📡 Infrastructure Contact via TOX Site de fuite de données accessible via Tor Vol massif de données avant déploiement du ransomware (double extorsion) 📄 Type d’article Analyse technique approfondie publiée par ThreatLabz (Zscaler), visant à documenter les capacités techniques de Payouts King et à fournir des éléments d’attribution et de détection. ...

Selon BleepingComputer, Microsoft a annoncé que les administrateurs de sécurité pourront bientôt restreindre les interactions d’utilisateurs externes avec les membres de leur organisation dans Microsoft Teams. 🔒 La nouveauté permet de bloquer l’envoi de messages, les appels et les invitations de réunion émanant d’utilisateurs externes vers les collaborateurs d’une organisation. L’objectif est de donner aux équipes de sécurité un contrôle renforcé sur les communications entrantes. Le déploiement est annoncé comme « bientôt », sans autres détails opérationnels dans l’extrait fourni (périmètre exact, calendrier précis ou conditions d’activation non précisés ici). ...

Source : Check Point Research (blog). Dans cette publication, les chercheurs détaillent plusieurs vulnérabilités dans Microsoft Teams touchant la confiance au sein des conversations, avec un suivi de divulgation responsable et des correctifs Microsoft finalisés fin octobre 2025. • Découvertes clés (CVE-2024-38197) : Édition invisible de messages : réutilisation d’identifiants uniques pour modifier des messages sans l’étiquette « Édité » ➜ altération silencieuse de l’historique. Notifications spoofées : manipulation des champs de notification pour faire apparaître des alertes comme venant d’un cadre ou collègue de confiance. Changement de nom affiché en chat privé : modification du topic de conversation impactant le nom visible par les deux participants. Usurpation d’identité en appels audio/vidéo : modification arbitraire du display name via la manipulation des requêtes d’initiation d’appel. • Impact et contexte : avec plus de 320 M d’utilisateurs mensuels, Teams est une infrastructure critique. Ces failles permettent l’usurpation d’exécutifs, la fraude financière, la livraison de malware, des campagnes de désinformation et la perturbation de communications sensibles. Les chercheurs soulignent une tendance de fond : les applications de collaboration (Teams, Slack, Zoom, etc.) deviennent un nouvel espace d’attaque, prisé par des APT et des cybercriminels exploitant les signaux de confiance (noms affichés, notifications, messages cités). ...

Selon GBHackers, des chercheurs en cybersécurité ont mis au jour une campagne où des acteurs malveillants utilisent des publicités frauduleuses et l’empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware backdoor Oyster. Leurre : faux installateurs de Microsoft Teams destinés aux utilisateurs cherchant un téléchargement légitime via des moteurs de recherche. Méthodes : publicités sponsorisées et SEO poisoning qui positionnent des liens frauduleux sur des requêtes comme « teams download ». Charge utile : backdoor Oyster, permettant aux attaquants d’obtenir un accès à distance. Des chercheurs en cybersécurité ont identifié une campagne sophistiquée exploitant des publicités malveillantes et un empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware de porte dérobée Oyster (alias Broomstick). Les utilisateurs cherchant à télécharger Teams via les moteurs de recherche tombent sur des annonces frauduleuses redirigeant vers des sites usurpant l’apparence des pages officielles, comme teams-install[.]top, qui délivrent un fichier MSTeamsSetup.exe infecté. ...

Selon Permiso (permiso.io), des acteurs menaçants exploitent Microsoft Teams comme vecteur d’ingénierie sociale pour distribuer un payload PowerShell, en se faisant passer pour du support IT afin d’obtenir un accès à distance et déployer des malwares. Les campagnes observées s’appuient sur des comptes Microsoft Teams nouvellement créés ou compromis, usurpant des rôles de « IT SUPPORT », « Help Desk », etc., parfois agrémentés d’un ✅ dans le nom pour simuler une vérification. Ces identités tirent parti de tenants onmicrosoft.com aux conventions de nommage génériques (admin, engineering, supportbotit). Les cibles sont variées mais basées en régions anglophones. Le contact initial se fait par messages/appels externes sur Teams que l’utilisateur doit autoriser. 💬 ...

L’article publié sur BleepingComputer le 6 août 2025, révèle une nouvelle technique d’évasion post-exploitation nommée ‘Ghost Calls’. Cette méthode exploite les serveurs TURN utilisés par des applications de conférence telles que Zoom et Microsoft Teams. Ces serveurs, normalement utilisés pour faciliter les connexions réseau dans des environnements NAT, sont détournés pour faire transiter du trafic malveillant à travers une infrastructure de confiance. L’utilisation de ces serveurs permet aux attaquants de tunneler leur trafic de commande et de contrôle (C2) de manière discrète, rendant plus difficile la détection par les systèmes de sécurité traditionnels. ...

Selon un article de BleepingComputer, le malware Matanbuchus est actuellement distribué à travers des appels sur Microsoft Teams. Les attaquants se font passer pour un service d’assistance informatique, exploitant ainsi la confiance des utilisateurs pour les inciter à installer le malware. Cette méthode repose sur des techniques d’ingénierie sociale, où les cybercriminels contactent directement les victimes potentielles via des appels sur Microsoft Teams. En se faisant passer pour des membres de l’équipe informatique, ils parviennent à convaincre les utilisateurs de suivre des instructions qui mènent à l’installation du malware. ...