Un nouveau type de phishing vise les utilisateurs de logiciels prisés, dissimulant un malware derrière des fausses mises à jour. Cette menace, identifiée par les experts de la cybersécurité, exploite la confiance des victimes en mimant des communications légitimes, assurant ainsi un accès furtif à leurs systèmes.
Un e-mail contient une invitation à une réunion ou un avis d’actualisation de Teams. Le message paraît fiable et présente une certification garantissant la sécurité du contenu. Toutefois, si la victime ouvre le lien joint, un malware s’introduit sur l’ordinateur et en prend le contrôle, supprimant toute trace de son passage pour devenir invisible aux systèmes de sécurité.
C’est ce nouveau schéma de phishing détecté récemment par le équipe de cybersécurité de Microsoft. Les attaques, observées depuis février 2026, profitent des dynamiques de bureau et du nom de logiciels très utilisés dans les environnements professionnels pour abaisser les défenses des victimes et pénétrer les systèmes des entreprises.
Fonctionnement de la fraude : l’escroquerie par e-mail
Comme l’explique le rapport de Microsoft, l’un des mécanismes les plus répandus dans la campagne consiste en un message annonçant des mises à jour urgentes d’applications largement utilisées dans les bureaux, comme Teams, Zoom ou Adobe Acrobat Reader. Dans certains cas, l’utilisateur reçoit également un fichier PDF en pièce jointe. Lorsque le document est ouvert, une interface floue apparaît, imitant un fichier protégé.
Un bouton demande d’ouvrir le document dans Adobe. Cependant, en cliquant dessus, l’utilisateur est redirigé vers une page web falsifiée qui imite le site officiel de téléchargement d’Adobe. Un message y indique que la version du logiciel n’est pas à jour et initie automatiquement le téléchargement d’une version censée être une mise à jour. Le fichier semble sûr, mais en réalité, il contient un intrus habilement camouflé.
Un des aspects les plus astucieux de l’attaque est l’utilisation de certificats numériques apparemment valides. En effet, les fichiers malveillants sont signés avec un certificat Extended Validation délivré à une société nommée TrustConnect Software PTY LTD. Ce type de certificat est normalement associé à des logiciels vérifiés et fiables. La présence de cet élément améliore la réputation du fichier aux yeux des systèmes de sécurité et réduit les doutes des utilisateurs, ce qui facilite l’installation du programme.
Fonctionnement du malware pour prendre contrôle du système
Une fois le fichier exécuté, le malware se copie dans le dossier des programmes du système d’exploitation pour apparaître comme une application légitime. Par la suite, il s’enregistre en tant que service Windows et crée une clé dans le registre du système pour se lancer automatiquement à chaque démarrage de l’ordinateur. À ce stade, le programme établit une connexion avec des serveurs contrôlés par les attaquants et commence à envoyer des commandes automatiques pour télécharger d’autres outils.
La phase suivante de l’attaque consiste en l’installation de logiciels de surveillance à distance habituellement utilisés par les entreprises pour gérer les ordinateurs des employés (comme ScreenConnect, Tactical RMM et MeshAgent). Étant donné qu’il s’agit de programmes entièrement légaux, le trafic généré par le malware peut passer inaperçu dans les systèmes de sécurité. Grâce à cette porte dérobée, les intrus peuvent opérer discrètement au sein du réseau de l’entreprise. Pour faciliter l’intrusion, les attaquants installent souvent plusieurs outils de gestion à distance simultanément. Ainsi, même si l’un d’eux est découvert et supprimé, les autres continuent à donner accès au système.
Prévention : recommandations des spécialistes
Selon les analystes en sécurité de Microsoft, le succès de ces campagnes repose principalement sur la familiarité des outils imitants et l’urgence induite par les messages. Les mises à jour de logiciels, les invitations à des réunions ou les documents de travail sont des éléments de la routine quotidienne pour de nombreux utilisateurs.
C’est pourquoi les experts recommandent d’utiliser les programmes de défense fournis par Windows (comme Defender Application Control) et de rester vigilants face aux liens et pièces jointes reçus par e-mail, en vérifiant toujours l’origine des messages et en ne téléchargeant des mises à jour que depuis les sites officiels des éditeurs de logiciels. Même les plus petits signes d’anomalie peuvent s’avérer déterminants pour se protéger d’une fraude informatique très sophistiquée.