L’équipe de sécurité de Microsoft Defender a documenté une série de campagnes de phishing actives en février 2026 qui utilisent une méthode particulièrement sophistiquée pour tromper à la fois les utilisateurs et les systèmes de protection de l’entreprise eux-mêmes. Le malware imite non seulement l’apparence d’applications légitimes telles que Microsoft Teams, Zoom, Google Meet ou Adobe Reader, mais comporte également un signature numérique validevous permettant de passer inaperçu grâce à de nombreux contrôles de sécurité automatisés.
Les signatures numériques sont un mécanisme de confiance que les systèmes d’exploitation et les antivirus utilisent pour vérifier qu’un programme provient de celui dont il prétend provenir. Lorsqu’un fichier exécutable est signé, Windows le traite avec moins de méfiance. Dans ce cas, les attaquants obtenu un certificat de type Extended Validationune catégorie de certificat qui implique une vérification plus approfondie de l’identité du demandeur, délivré au nom d’une entité appelée TrustConnect Software PTY LTD. Avec ce certificat, tout dossier signé héritait d’une apparence de légitimité difficile à distinguer de la réalité.
Comment fonctionne la tromperie, étape par étape
Les campagnes identifiées suivent deux schémas principaux. Dans le premier cas, la victime reçoit un e-mail avec un fichier PDF en pièce jointe. Lorsque vous l’ouvrez, à la place d’un document, une image floue apparaît qui simule un fichier restreint, avec un bouton rouge vous invitant à l’ouvrir dans Adobe. En cliquant, l’utilisateur est redirigé vers une page Web qui imite le centre de téléchargement officiel d’Adobe et qui commence automatiquement à télécharger ce qui semble être une mise à jour d’Adobe Reader. Il s’agit en fait d’un progiciel d’accès à distance.
Le deuxième modèle utilise des e-mails qui simulent des invitations à des réunions Teams ou Zoom, des notifications financières ou des communications internes à l’entreprise. Les liens inclus mènent à de fausses pages qui affichent des messages « version obsolète » ou « mise à jour requise », conçues pour créer une urgence et inciter l’utilisateur à télécharger le fichier sans trop réfléchir.
Dans les deux cas, les fichiers téléchargés portent des noms comme msteams.exe, zoomworkspace.clientsetup.exe soit adobereader.exeet sont signés par TrustConnect. Une fois exécutés, ils installent des outils de surveillance et de gestion à distance, connus dans l’industrie sous le nom de RMM, notamment ScreenConnect, Tactical RMM et Mesh Agent. Ces outils, légitimes dans les contextes d’entreprise, permettent à l’attaquant de prendre le contrôle de l’ordinateur infecté de manière silencieuse et persistante.
Pourquoi est-ce une attaque particulièrement difficile à détecter ?
Ce qui rend cette campagne plus dangereuse que le phishing classique, c’est précisément la combinaison d’éléments de confiance qu’elle accumule. Un certificat numérique valide, des noms de fichiers qui correspondent à des logiciels réels, des pages de téléchargement qui imitent fidèlement les pages officielles et des messages électroniques qui reproduisent le format des communications d’entreprise légitimes. Chaque couche ajoute de la crédibilité et réduit la probabilité que l’utilisateur ou le système de sécurité déclenche une alerte.
Une fois installé, le malware crée une copie de lui-même sur le dossier Program Files Pour renforcer son apparence d’application légitime, il s’enregistre en tant que service Windows pour s’exécuter automatiquement au démarrage du système et établit une connexion aux serveurs contrôlés par les attaquants. Pour garantir le maintien de l’accès même si l’un des outils est détecté et supprimé, les attaquants en installent plusieurs en parallèle, créant ainsi des canaux d’accès redondants.
Pour les équipes informatiques, Microsoft recommande Bloquer l’utilisation d’outils RMM non autorisés via des politiques d’applicationactivez la protection cloud de Microsoft Defender et activez les fonctionnalités Liens sécurisés et Pièces jointes sécurisées dans Microsoft Defender pour Office 365. Il est également conseillé de rechercher activement dans les environnements d’entreprise les installations de logiciels signés par TrustConnect Software PTY LTD, ce qui est l’indicateur le plus clair de compromission dans cette campagne. Les requêtes de recherche avancées pour Microsoft Defender XDR et Microsoft Sentinel sont disponibles dans le livre blanc publié par l’équipe Microsoft Defender.
Le domaine principal utilisé comme serveur de contrôle par les attaquants est trustconnectsoftware(.)com, et Microsoft a publié une liste complète des hachages SHA-256, des URL et des adresses IP associés à la campagne pour faciliter son blocage dans les environnements d’entreprise.
