Microsoft a déjoué une vaste cyberattaque à l’encontre des utilisateurs de Teams. Avant que l’éditeur ne prenne des mesures fortes, de faux fichiers Teams, indétectables par les antivirus, ont permis à un groupe de hackers d’infecter des ordinateurs avec un ransomware.
Début octobre 2025, Microsoft a mis un terme à une vague d’attaques visant les utilisateurs de Teams. Les cyberattaques étaient orchestrées par Vanilla Tempest, un gang spécialisé dans les attaques par ransomware. Dans le cadre de cette campagne, le groupe criminel s’est surtout servi d’un ransomware intitulé Rhysida. Le virus est taillé pour chiffrer les données et les exfiltrer dans la foulée.
In early October 2025, Microsoft disrupted a Vanilla Tempest campaign by revoking over 200 certificates that the threat actor had fraudulently signed and used in fake Teams setup files to deliver the Oyster backdoor and ultimately deploy Rhysida ransomware.
We identified this… pic.twitter.com/FeTitSrTbi
— Microsoft Threat Intelligence (@MsftSecIntel) October 15, 2025
A lire aussi : Microsoft Teams améliore ses défenses contre les cyberattaques
Faux sites et publicités malveillantes
Pour piéger les utilisateurs de Microsoft Teams, les cybercriminels se sont servis de faux sites web qui ressemblent au site officiel de la messagerie. Afin d’attirer les internautes sur leurs plateformes factices, le gang a déployé de fausses publicités dans les résultats des moteurs de recherche. Ceux-ci s’adressaient surtout aux personnes qui cherchent à télécharger Teams.
C’est l’une des tactiques préférées des pirates. En affichant des publicités sur des moteurs comme Google, les pirates parviennent aisément à endormir la méfiance de leurs cibles. Trop souvent, les internautes ne se méfient pas d’une annonce publicitaire qui arrive en tête des résultats. Pourtant, il n’y a aucune garantie qu’il ne s’agit pas d’un piège.
Une fois arrivée sur le site frauduleux, la victime va apercevoir un bouton qui lui propose de « Télécharger Teams ». Elle va alors télécharger un programme d’installation qui s’intitule MSTeamsSetup.exe, ce qui cadre avec le nom du programme officiel de Microsoft. Quand la victime ouvre le fichier, un malware va infiltrer son ordinateur. Baptisé Oyster, le virus glisse une porte dérobée sur la machine, offrant un accès aux cybercriminels à tout le système.
Ils peuvent dès lors voler des fichiers ou installer leur ransomware. Le but est de parvenir à compromettre l’organisation à laquelle appartient leur victime. Une fois les données chiffrées et volées, ils vont transmettre une rançon. Le gang Vanilla Tempest « se concentre sur le déploiement de ransomwares et l’exfiltration de données à des fins d’extorsion », précise Microsoft.
À lire aussi : Microsoft explique comment des pirates peuvent vous piéger sur Teams
Microsoft contre-attaque
Quand Microsoft a découvert que les pirates utilisaient de faux installateurs Teams signés avec des vrais certificats, l’éditeur a lancé une opération de court-circuitage. Comme l’explique Microsoft, ces certificats rendaient les faux programmes d’installation inoffensifs aux yeux de Windows et des antivirus. De cette manière, les pirates ont pu contourner les mécanismes de sécurité de Windows et éviter de déclencher une alerte.
Les cybercriminels peuvent obtenir des certificats en contactant des autorités de certification, comme SSL.com, DigiCert ou GlobalSign, en se faisant passer pour des développeurs légitimes. Les processus de vérification ne sont pas toujours infaillibles. Il arrive aussi que les hackers volent directement des certificats appartenant à des entreprises. Plus de 200 certificats ont été exploités par Vanilla Tempest dans le cadre de leur campagne d’ampleur.
Pour bloquer la vague d’attaques, Microsoft a révoqué tous les certificats que les pirates avaient « frauduleusement signés et utilisés ». Désormais, les pirates ne peuvent plus échapper à Microsoft Defender ou à d’autres antivirus. Les faux installateurs signés avec ces certificats ne passent plus inaperçus après avoir été téléchargé par les internautes. Microsoft précise d’ailleurs que « l’antivirus Microsoft Defender entièrement activé bloque cette menace ».
Néanmoins, les cyberattaques analogues restent courantes. Pour éviter de tomber dans un piège de ce type, ne téléchargez jamais de programme à partir d’une publicité aperçue sur Google. Allez directement sur le site officiel de Teams, et vérifiez toujours l’adresse du site avant de télécharger quoi que ce soit.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.