Les chercheurs ont découvert d’autres façons d’abuser de Microsoft Teams pour voler les informations d’identification des utilisateurs d’Office 365 en diffusant des logiciels malveillants, selon un nouveau rapport.
Nouveaux résultats de Proofpoint (s’ouvre dans un nouvel onglet) ont affirmé que les pirates pouvaient abuser de la fonctionnalité Tabs, utilisée pour synchroniser Microsoft Teams et Calendar, et l’API Teams, pour fournir des compte-gouttes ou des pages de phishing à des victimes sans méfiance.
Les onglets proposent aux utilisateurs Teams des fournisseurs un accès rapide à différents outils, tels que OneDrive. Comme les onglets par défaut ne peuvent pas être déplacés, les utilisateurs peuvent s’habituer à différents onglets et les utiliser sans remettre en question leur nature bénigne. Cependant, il existe un moyen de déplacer les onglets par défaut, que les cybercriminels pourraient utiliser pour remplacer les onglets légitimes par des onglets malveillants. Dans un de ces exemples, selon Proofpoint, un onglet « Site Web » pourrait pointer vers une page de destination malveillante où les victimes pourraient finir par donner leurs informations d’identification Office 365.
Abuser des réunions
L’onglet Site Web peut également être modifié pour pointer vers un fichier, qui serait automatiquement téléchargé au clic. Les cybercriminels pourraient abuser de cette fonctionnalité pour livrer des compte-gouttes, ont déclaré les chercheurs.
Les invitations aux réunions Microsoft Teams peuvent également être transformées en armes – lorsqu’un membre crée une réunion en ligne (s’ouvre dans un nouvel onglet), la plateforme génère plusieurs liens et les envoie aux invités. Avec l’aide des appels d’API Teams, un acteur malveillant pourrait échanger les liens légitimes contre des liens malveillants.
Les escrocs peuvent également opter pour une approche différente, en utilisant l’API Teams ou l’interface utilisateur pour armer les liens existants dans les messages envoyés. Dans ce scénario, le lien hypertexte que les victimes reçoivent ne changerait pas, juste l’URL derrière, ce qui rendrait la découverte encore plus difficile.
Alors que les chercheurs avertissent que ces méthodes sont dangereuses, ils soulignent que pour être efficaces, les attaquants doivent obtenir un compte Teams au préalable.