Stratagèmes courants d'ingénierie sociale utilisés pour déployer des outils de gestion et de surveillance à distance en vue d'obtenir un accès initial
10 octobre 2025
Par l'équipe de recherche sur les menaces de Mimecast
- On observe une tendance croissante à délaisser les méthodes traditionnelles de diffusion de malware au profit de l'utilisation abusive d'outils légitimes de surveillance et de gestion à distance (RMM) pour obtenir un accès initial
- Des campagnes ciblant des organisations issues de divers secteurs et recourant à des techniques d'ingénierie sociale, notamment de faux reçus de paiement, des invitations à des réunions et des documents fiscaux
- Parmi les plateformes RMM les plus utilisées qui font l'objet d'attaques, on peut citer ScreenConnect (ConnectWise Control), LogMeIn Resolve, TeamViewer et AnyDesk
- L'utilisation abusive des solutions RMM permet un accès à distance permanent tout en se fondant dans les opérations informatiques légitimes, contournant ainsi les contrôles de sécurité traditionnels
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast continue d'observer que les auteurs de menaces délaissent de plus en plus les pièces jointes traditionnelles contenant des malware au profit d'outils légitimes de surveillance et de gestion à distance (RMM) pour obtenir un accès initial. Ce changement de stratégie permet aux pirates de contourner de nombreux contrôles de sécurité, car les logiciels RMM sont couramment utilisés par les équipes informatiques et figurent souvent sur la liste blanche dans les environnements d'entreprise.
Ces campagnes mettent en œuvre des techniques sophistiquées d'ingénierie sociale visant à inciter les utilisateurs à installer volontairement des agents RMM. Ces opérations utilisent divers leurres, allant de faux reçus de paiement diffusés via Evernote à de fausses invitations à des réunions Zoom. Vous trouverez ci-dessous quelques-unes des campagnes que nous avons observées ces derniers mois et qui servaient à télécharger divers outils de gestion à distance (RMM).
Attrait financier
Dans le cadre de cette campagne, un faux avis de virement et un faux e-mail de confirmation de paiement sont utilisés pour inciter les destinataires à télécharger des fichiers malveillants. Ces campagnes se font passer pour des communications financières légitimes en affirmant que des paiements ont été effectués par virement bancaire et en invitant les utilisateurs à télécharger des reçus de paiement "" via des services de partage de fichiers tels qu’Evernote.
Ces leurres s'appuient sur des scénarios professionnels urgents liés aux transactions financières, en tirant parti du caractère routinier des communications relatives au traitement des paiements que les employés gèrent régulièrement.
Les destinataires reçoivent des pièces jointes au format PDF qui semblent légitimes et contiennent des documents de paiement, mais le fait de cliquer sur ces liens conduit en réalité au téléchargement d'un outil RMM plutôt qu'à l'accès à de véritables documents financiers. Cette technique d'ingénierie sociale exploite la confiance et le sentiment d'urgence généralement associés aux confirmations de transactions financières, ce qui rend les utilisateurs plus enclins à interagir avec le contenu malveillant.
Piège à contrefaçon
Des cybercriminels utilisent de fausses notifications de violation de droits d'auteur, en se faisant passer pour des cabinets d'avocats prestigieux, afin d'inciter les destinataires à télécharger du contenu malveillant. Ces campagnes affirment qu'une action en justice urgente s'impose face aux violations des droits d'auteur et invitent les utilisateurs à se rendre sur "ou à cliquer sur les liens sécurisés" afin de consulter les rapports complets et d'éviter toute sanction. Ces messages exploitent la crainte des conséquences juridiques et de la responsabilité financière, ce qui incite davantage les destinataires à cliquer sur les liens, convaincus qu’ils doivent répondre immédiatement à des réclamations légitimes en matière de droits d’auteur.
Au lieu d'accéder à de véritables documents juridiques, les victimes sont redirigées vers une page leur proposant de télécharger un outil RMM qui permet aux pirates de disposer d'un accès à distance permanent aux systèmes compromis. Cette approche d'ingénierie sociale associe le caractère autoritaire et l'urgence des menaces juridiques à la légitimité perçue de l'image de marque d'un cabinet d'avocats reconnu, afin de maximiser l'engagement des victimes.
Le leurre de la signature électronique
Des cybercriminelsexploitent les processus de signature électronique en envoyant de fausses invitations à signer des documents qui se font passer pour des plateformes de signature électronique légitimes telles qu’Authentisign. Ces campagnes s'adressent à des destinataires à qui l'on demande de signer de toute urgence des documents commerciaux, tels que des accords de distribution ou des contrats de cession, en tirant parti du caractère routinier du traitement électronique des documents dans les opérations commerciales modernes. Les destinataires qui cliquent sur les boutons « "» ou « COMMENCER À SIGNER » (" ) sont redirigés vers des pages Web malveillantes comportant de fausses pages de vérification CAPTCHA, conçues pour contourner les scanners de sécurité automatisés et donner une fausse impression de légitimité.
La mise en œuvre du CAPTCHA sert à brouiller les pistes, en bloquant les navigateurs sans interface graphique et les outils de sécurité tout en désactivant les capacités d'inspection, avant de rediriger finalement les utilisateurs vers le téléchargement d'outils RMM au lieu de leur permettre d'accéder aux véritables plateformes de signature. Cette approche d'ingénierie sociale à plusieurs niveaux exploite la confiance et le caractère urgent des processus de signature de contrats, tout en mettant en œuvre des mesures anti-analyse sophistiquées pour contourner les contrôles de sécurité.
Réunion Zoom « Lure »
Des cybercriminels se font passer pour des organisateurs légitimes de réunions en envoyant de fausses invitations à des réunions Zoom qui semblent provenir de collègues ou de contacts professionnels. Ces campagnes tirent parti de l'omniprésence de la visioconférence dans les communications professionnelles actuelles, en utilisant des noms connus et des liens de réunion Zoom d'apparence officielle afin de gagner en crédibilité auprès des destinataires. Ces fausses invitations comportent des options telles que « Accepter/Refuser » ( ") et « Ajouter à mon agenda » (" ), qui imitent les fonctionnalités légitimes d'intégration à l'agenda, incitant ainsi l'utilisateur à interagir immédiatement sans vérifier leur authenticité. Les victimes qui cliquent sur ces liens sont redirigées vers des sites malveillants qui téléchargent un outil de gestion à distance (RMM), offrant ainsi aux pirates un accès à distance permanent aux systèmes compromis. Cette approche d'ingénierie sociale tire parti du caractère routinier et fiable des invitations à des réunions, ce qui rend les employés moins enclins à examiner de près les liens qu'ils perçoivent comme des communications professionnelles habituelles.
Fausse alerte de sécurité ScreenConnect : un leurre
Dans le cadre de cette campagne, les cybercriminels ciblaient les administrateurs informatiques et les fournisseurs de services gérés à l’aide de fausses alertes de connexion ScreenConnect sophistiquées, prétendant qu’un accès non autorisé avait été détecté depuis des adresses IP suspectes. Ces campagnes se font passer pour de véritables notifications de sécurité de ScreenConnect et affichent des informations détaillées sur les comptes, notamment des domaines spécifiques, des comptes utilisateurs et des localisations géographiques, afin de gagner en crédibilité auprès du personnel technique. Ces leurres tirent parti de la vigilance accrue des professionnels de l'informatique en matière de sécurité en leur présentant des scénarios urgents nécessitant une intervention immédiate "security review", à laquelle les administrateurs accorderaient naturellement la priorité. Au lieu d'accéder aux véritables tableaux de bord de sécurité de ScreenConnect, les victimes qui cliquent sur les liens « "Review Security »" sont redirigées vers des pages destinées à collecter des identifiants, conçues pour voler les identifiants des super-administrateurs. Cette approche d'ingénierie sociale vise spécifiquement les privilèges élevés des administrateurs informatiques, ce qui pourrait permettre aux attaquants d'obtenir un large accès à de multiples environnements clients gérés.
Le leurre de la notification de partage de faux documents
Des cybercriminels se font passer pour des plateformes légitimes de partage de documents en envoyant de fausses notifications de partage de fichiers qui semblent provenir de collègues ou de responsables au sein des organisations. Ces campagnes s'appuient sur des noms inspirant confiance, tels que ", le chef de cabinet adjoint", ainsi que sur des intitulés de documents à consonance officielle, tels que "ADVANCE NOTICE .docx", afin de susciter un sentiment d'urgence et de légitimité auprès des destinataires. Ces leurres comportent des avertissements concernant des expéditeurs externes et invitent "à consulter le document sans tarder," en imitant des notifications de sécurité authentiques provenant de plateformes telles que Google Drive ou SharePoint afin de réduire la méfiance. Plutôt que d'accéder à de véritables documents partagés, les victimes qui cliquent sur les boutons « "» ou « Ouvrir" » sont redirigées vers des sites malveillants qui téléchargent des outils RMM, offrant ainsi aux pirates un accès à distance permanent aux systèmes compromis.
Ces applications légitimes offrent des fonctionnalités de contrôle à distance persistantes tout en se présentant comme des logiciels professionnels autorisés, ce qui rend leur détection nettement plus difficile que celle des déploiements de malware traditionnels. Des études menées dans le secteur indiquent que cette tendance reflète l'efficacité croissante des solutions de sécurité des e-mails dans la détection des malware traditionnels, ce qui contraint les auteurs de menaces à adopter des stratégies plus sophistiquées consistant à détourner des outils légitimes. Cette évolution marque un changement fondamental dans la méthodologie des attaques, qui passe du déploiement de code malveillant à l'exploitation de logiciels de confiance existants à des fins malveillantes.
Protection Mimecast
Les capacités avancées de détection des menaces de Mimecast ont permis d'identifier et de bloquer ces campagnes grâce à plusieurs niveaux de protection.
IOC détectés
Liens de téléchargement
- hxxp://dl[.]dropbox[.]com/scl/fi/y8nwd9911fen2xlgm7ogi/Invoice_00299[.]zip?rlkey=pq8f9ui5fdxxg1bzvv4h8bd3v&st=m9m3youl&dl=0
- hxxps://store8[.]gofile[.]io/download/direct/7f0d3fca-f5d5-432b-a9ca-34b6a936f608/IntuitproPlugin3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/9f5a47f8-cb82-4955-b4dc-6d4dd480512b/IntuitPluginCore3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/b9f9f024-93fa-43db-8567-7aef21436c4b/IntuitPluginCore3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/42c735a7-0a8e-444e-8d55-252cb384557d/IntuitPluginCore3[.]0[.]exe
- hxxps://file-eu-par-2[.]gofile[.]io/download/direct/1ed0603c-12e1-43cf-b7c7-34b4fc94d12b/IntuitPluggin3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/1ed0603c-12e1-43cf-b7c7-34b4fc94d12b/IntuitPluggin3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/75309ae0-a457-4a96-9f63-1b969945e7ac/IntuitPluggin3[.]0[.]exe
- hxxps://bitbucket[.]org/thanksforusingourwebsite/serv/downloads/Statement-415322025[.]exe
- hxxps://podcast[.]zozaljubali[.]com/Remittance%20Advice_pdf[.]exe
Liens d'hébergement
- hxxps://sptr[.]eomail6[.]com/f/a/
- hxxps://skyexchange[.]win/wp-scripts/dee54[.]php
- fn3699[.]kafinora[.]cyou
- fnback9636[.]site
- hxxps://docs[.]google[.]com/document/d/15zYZoGTgMCreSji6V4KJntdP0ZM0b3
Recommandations
Gestion de la sécurité RMM :
- Mettre en place des politiques approuvées relatives aux outils de gestion à distance (RMM) et tenir à jour des listes d'autorisation strictes des logiciels d'accès à distance autorisés
- Mettez en place des exigences d'authentification supplémentaires pour les installations d'outils RMM, en exigeant l'accord du service informatique avant le déploiement
- Surveiller le trafic réseau afin de détecter les communications RMM non autorisées et établir des références pour les modèles d'utilisation légitimes du RMM
- Pour les MSP, mettez en place des instances RMM isolées, avec un accès inter-clients limité et une surveillance renforcée de l'utilisation des comptes de super-administrateur
Sensibilisation des utilisateurs à la sécurité :
- Sensibilisez les utilisateurs parmi le personnel à l'utilisation professionnelle légitime des outils RMM, tout en insistant sur la nécessité d'obtenir l'accord du service informatique avant toute installation
- Réaliser des simulations intégrant des demandes d'installation de RMM déguisées en demandes d'assistance informatique ou en communications professionnelles
- Insistez sur la vérification des communications par les voies officielles, en particulier celles qui sollicitent le téléchargement de logiciels
Les organisations devraient immédiatement procéder à un audit de leurs déploiements RMM existants et mettre en place une surveillance renforcée de ces outils légitimes utilisés à des fins malveillantes, car la détection traditionnelle basée sur les signatures pourrait ne pas permettre d'identifier ce type d'abus.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!