Un nouveau rapport de chercheurs en sécurité met en évidence une technique de plus en plus inquiétante: au lieu de créer des logiciels malveillants, les attaquants profitent d'outils légitimes de gestion à distance pour maintenir l'accès persistant aux équipements engagés. Savoir Les chercheurs Be4 décrivent une campagne en deux étapes dans laquelle l'objectif initial est de voler les lettres d'identité par de faux courriels, et la deuxième partie est de convertir ces lettres d'identité volées en accès permanent en utilisant un logiciel légitime de surveillance et de gestion à distance (RMM) comme s'il s'agissait d'une « clé maîtresse » du système. Vous pouvez lire l'analyse originale de KnowBe4 ici: KnowBe4 - La clé du squelette.
La première phase de l'opération profite d'un leurre convaincant : les fausses invitations qui semblent provenir de services légitimes de livraison de cartes électroniques. Ces communications incitent le destinataire à appuyer sur un lien d'hameçonnage qui simule une page de connexion de grands fournisseurs de courrier comme Outlook, Yahoo! ou AOL. Lorsque la victime présente ses lettres de créances, elle reste entre les mains des acteurs malveillants, qui de là avancent sans avoir à exploiter des vulnérabilités techniques complexes.
Avec un compte dédié à leur puissance, les attaquants cherchent cette direction sur les plateformes de gestion à distance pour générer des jetons d'accès RMM. Dans le cas documenté, la chaîne se termine par le démarrage d'un exécutable avec un nom attrayant et apparemment légitime - le fichier identifié comme "GreenVelopeCard.exe" - qui comprend une configuration au format JSON à l'intérieur. Ce fichier est signé numériquement et utilisé pour télécharger et installer l'outil d'accès à distance (dans ce cas, LogMeIn Resolve, également connu sous le nom de GoTo Resolve) et le connecter à un serveur contrôlé par l'attaquant sans que l'utilisateur le prévienne. Le produit concerné est disponible sur son site officiel: GoTo Resolve.
Une fois l'outil RMM déployé, les opérateurs modifient leurs paramètres pour fonctionner avec des privilèges Windows élevés et créent des mécanismes de persistance qui empêchent une fermeture manuelle de mettre fin à l'intrusion : ils changent les paramètres de service et génèrent des tâches cachées programmées qui relancent le logiciel dès que nécessaire. Autrement dit, ils transforment une utilité conçue pour une gestion et un soutien légitimes en une porte arrière efficace et durable.
Le problème de fond est que les défenses traditionnelles, basées exclusivement sur la détection de « logiciels malveillants connus », peuvent échouer contre ce type d'abus: les applications sont légales, signées et installées avec des références valides. Cela ne signifie pas qu'il n'y ait pas de signes qui puissent et doivent être surveillés. Des activités atypiques telles que la création d'un accès au MRG à partir de nouveaux comptes ou de sites géographiques inhabituels, l'émission de jetons par des comptes non gérés, des logiciels d'appui hors canal et la présence de tâches programmées qui sont créées sans justification administrative devraient être signalées dans un SGI ou des outils de surveillance de l'entreprise.
En pratique, l'atténuation consiste à renforcer la protection des pouvoirs et à limiter l'utilisation d'un compte administratif. L'activation et la demande d'authentification multifacteurs sont une mesure simple et efficace qui réduit considérablement la probabilité que les justificatifs d'identité volés permettent l'enregistrement de services pour le compte de la victime; Microsoft et d'autres fournisseurs offrent des lignes directrices sur la façon de mettre en œuvre MFA d'une manière robuste: Guide MFA (Microsoft). En outre, il est recommandé de tenir un inventaire strict des outils autorisés de MRG, de contrôler les certificats de signature et d'appliquer des politiques moins privilégiées pour les comptes capables d'installer des logiciels ou de générer des jetons d'accès.
La sensibilisation compte aussi. Les efforts de formation des employés et des administrateurs pour reconnaître les courriels d'hameçonnage et les signaux d'engagement aident à réduire la campagne dans sa phase initiale. Les autorités et organismes de protection des consommateurs disposent de ressources pratiques pour identifier et éviter les campagnes d'hameçonnage: Conseils anti-phishing (FTC). Pour les équipes de sécurité, il est prudent d'examiner les guides nationaux sur la sécurité de l'accès à distance, tels que ceux publiés par l'US Infrastructure and Cybersecurity Agency. États-Unis. Sécurisation de l'accès à distance (CISA).
Enfin, cette campagne rappelle clairement que la confiance dans les outils légitimes peut être manipulée. Les organisations doivent présumer que les agresseurs ne cesseront jamais de chercher des raccourcis pour éviter les contrôles et qu'il est donc approprié de combiner des mesures préventives - telles que l'AMF, le contrôle des comptes spéciaux et les listes d'applications blanches - avec la détection fondée sur le comportement, la vérification continue des installations et les procédures d'intervention qui comprennent la révocation rapide des jetons et l'assainissement des services de MGR suspects. La clé n'est pas de traiter les outils de soutien à distance comme intouchables, mais comme des ressources qui, comme tout autre, ont besoin de gouvernance et de surveillance.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...