L'acteur menaçant Storm-0324 distribue des logiciels malveillants via les discussions Microsoft Teams

Un acteur malveillant motivé par des raisons financières, connu sous le nom de Storm-0324, distribue des logiciels malveillants via les chats Microsoft Teams, selon un nouveau blog à partir de Microsoft. 

L’acteur est connu pour obtenir un premier accès aux réseaux à l’aide de vecteurs d’infection par courrier électronique, puis céder l’accès à d’autres acteurs malveillants, tels que des groupes de ransomwares.

Au cas où vous l'auriez manqué, en juillet 2023, Storm-0324 a été observé en train d'utiliser un outil open source pour envoyer des leurres de phishing via les discussions Microsoft Teams. 

Les leurres contiennent généralement des liens malveillants qui, lorsqu'ils sont cliqués, téléchargent des logiciels malveillants sur l'ordinateur de la victime. Le malware peut ensuite être utilisé pour voler des données sensibles, installer un ransomware ou entreprendre d’autres actions. 

Dans ce cas, cela semble légitime au premier coup d'œil, mais lorsque vous cliquez dessus, cela conduit à des fichiers hébergés sur SharePoint contenant des logiciels malveillants. 

"Storm-0324 a utilisé de nombreux formats de fichiers pour lancer le code JavaScript malveillant, notamment des documents Microsoft Office, Windows Script File (WSF) et VBScript, entre autres", indique le rapport. 

Le groupe Storm-0324 est actif depuis au moins 2016 et a été associé à plusieurs attaques très médiatisées, notamment quelques chevaux de Troie bancaires, ainsi que les ransomwares Sage et GandCrab.

Microsoft a également publié les conclusions de son enquête sur l'acteur menaçant chinois. Tempête-0558. L'acteur a exploité un problème de validation zero-day dans GetAccessTokenForResourceAPI, qui a depuis été corrigé.