Des hackers diffusent le malware «Snow» via Microsoft Teams
Des cybercriminels se font passer pour des collaborateurs du helpdesk sur Microsoft Teams afin de pousser leurs victimes potentielles à installer la suite malveillante «Snow». Les attaquants parviennent ainsi à prendre le contrôle de l'appareil de la victime.
Le Google Threat Intelligence Group (GTIG) a identifié une campagne de diffusion de malware baptisée «Snow». Actifs depuis décembre 2025, les attaquants utilisent une technique désormais répandue consistant à se faire passer pour des collaborateurs du helpdesk sur Microsoft Teams, indique un rapport de la filiale Google Mandiant. Les cybercriminels contactent leurs cibles en leur proposant de l’aide pour résoudre un problème qu’ils ont eux-mêmes provoqué.
L’attaque débute par l’envoi massif de courriels indésirables. La cible est ensuite contactée via Microsoft Teams par une personne se faisant passer pour un employé du support informatique, qui lui transmet un lien censé résoudre ce problème de spam. En réalité, ce lien constitue la première étape de la compromission.
Une fois le lien cliqué, il déclenche le téléchargement d’un script qui installe une extension Chromium malveillante baptisée «Snowbelt», explique Google Mandiant. Ce composant sert de premier point d’ancrage des cybercriminels sur l’appareil ciblé. Il permet ensuite de télécharger et d’installer «Snowglaze», «Snowbasin» ainsi que plusieurs scripts et bibliothèques Python associés.
Dès l'installation de ces trois composants, les attaquants prennent le contrôle de l’appareil. À l'aide du Gestionnaire des tâches Windows, ils récupèrent les mots de passe stockés en mémoire avant d’exfiltrer les données.
Selon l’analyse, cette campagne illustre la manière dont les cybercriminels s’appuient aujourd’hui sur l’ingénierie sociale pour infiltrer les systèmes. Cette méthode est d’autant plus efficace que les attaquants utilisent des services cloud légitimes pour déployer leurs malwares sur les appareils ciblés. Comme d’importants volumes de données transitent chaque jour par ces plateformes, les composants malveillants peuvent y rester longtemps sans être repérés, précise le communiqué.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
