Des rapports récents de l'industrie ont révélé une campagne de phishing qui abuse des outils légitimes de RMM et d'accès à distance pour obtenir un accès non autorisé aux systèmes des victimes. Splashtop était l'un des outils installés par les attaquants dans cette campagne, mais il est important de préciser qu'il s'agissait d'un cas de mauvaise utilisation par ingénierie sociale, et non d'une faille ou d'une vulnérabilité dans Splashtop.
Dans cette attaque, les cybercriminels trompent les destinataires pour qu'ils téléchargent RMM et logiciel d'accès à distance. Une fois installés, les logiciels fournissent aux hackers un accès à distance persistant au système, leur permettant d'opérer comme s'ils étaient des administrateurs TI autorisés. Cette tactique permet aux attaquants de contourner la détection traditionnelle des malwares et de se fondre dans l'activité légitime du réseau.
Ce blog expliquera comment l'attaque fonctionne, pourquoi les outils légitimes d'accès à distance sont ciblés, et ce que vous pouvez faire pour prévenir les abus dans votre environnement.
Comment l'attaque fonctionne
Cette campagne de phishing suit une séquence claire conçue pour tromper les destinataires en installant des outils d'accès à distance légitimes sous le contrôle des attaquants.
1. Livraison de l'email de phishing
Les attaquants envoient des emails qui semblent provenir de sources fiables, comme les notifications de partage de fichiers Microsoft OneDrive. Ces messages sont envoyés à partir de comptes Microsoft 365 compromis, augmentant leur crédibilité.
2. Hébergement de fichiers malveillants
Le lien dans l'email dirige la cible vers un installateur MSI malveillant hébergé sur le réseau de distribution de contenu (CDN) de Discord. Héberger le fichier sur un service bien connu l'aide à échapper à certains filtres de sécurité.
3. Installation d'outils RMM et d'accès à distance légitimes
Lorsqu'il est exécuté, l'installateur déploie silencieusement :
Splashtop Streamer
Atera Agent
Les composants de support comme .NET Runtime 8
Installer plus d'un outil assure la persistance. Si une application est détectée et supprimée, l'autre peut toujours fournir un accès.
4. Accès et contrôle à distance
Avec les outils en place, les attaquants peuvent :
Accéder au système à distance
Déplacer des fichiers ou des données
Exécutez les commandes comme si vous étiez un membre autorisé du personnel TI.
Pourquoi les attaquants utilisent des outils d'accès à distance légitimes
Les logiciels d'accès à distance et RMM sont conçus pour aider les équipes TI à gérer en toute sécurité les appareils, à résoudre à distance les problèmes et à effectuer des mises à jour de n'importe où. Ces mêmes capacités les rendent attrayants pour les attaquants lorsqu'ils sont mal utilisés :
Se fond dans l'activité normale – Le logiciel est de confiance et souvent déjà présent dans de nombreux environnements, donc son installation peut ne pas susciter de suspicion immédiate.
Contourne la détection traditionnelle des malwares – Les outils de sécurité peuvent ne pas signaler les applications légitimes et signées numériquement de la même manière qu'ils le feraient pour des exécutables inconnus.
Accorde un contrôle total du système – Une fois installés, ces outils donnent le même niveau d'accès qu'un administrateur TI autorisé.
Assure la persistance – Déployer plus d'un outil (comme vu dans cette campagne) permet de maintenir l'accès même si l'un est supprimé.
Non causé par un défaut logiciel
Ce type de mauvaise utilisation n'est pas causé par une vulnérabilité dans le logiciel. Au lieu de cela, il découle d'une ingénierie sociale réussie. La plus grande arme de l'attaquant est de convaincre quelqu'un d'installer l'outil pour lui, contournant ainsi les contrôles TI normaux.
Pour que l'attaque fonctionne, plusieurs étapes doivent s'aligner :
Un email de phishing a persuadé la cible de cliquer sur un lien malveillant.
La victime a téléchargé et exécuté un installateur déguisé.
Le logiciel a été installé sans l'approbation de la TI.
L'attaquant s'est connecté au logiciel nouvellement installé.
Si l'une de ces étapes est bloquée, l'attaque échoue. C'est pourquoi des défenses solides contre le phishing, des contrôles d'installation et des mesures de sécurité des comptes sont essentielles.
Prévenir l'abus de Splashtop dans votre environnement
Bien que le logiciel lui-même n'ait pas été exploité dans cette campagne, les organisations peuvent prendre des mesures proactives pour rendre beaucoup plus difficile pour les attaquants de détourner un logiciel légitime :
Restreindre l'installation de logiciels aux administrateurs approuvés via des politiques de gestion des points de terminaison.
Éduquer les employés sur la façon de repérer les tentatives de phishing, y compris les liens de partage de fichiers suspects.
Rappelez au personnel de ne jamais télécharger ou exécuter des installateurs à partir d'emails inattendus, même s'ils semblent provenir de sources internes.
Encouragez le signalement rapide de tout message suspect ou de toute demande d'accès à distance inattendue.
En combinant ces mesures, on s'assure que même si un email de phishing passe à travers, plusieurs protections empêchent un attaquant d'accéder.
Comment Splashtop Aide à Sécuriser l'Accès
Splashtop inclut des fonctionnalités de sécurité intégrées conçues pour donner aux organisations le contrôle sur qui peut se connecter, d'où, et dans quelles conditions. Lorsqu'elles sont correctement configurées, ces capacités rendent beaucoup plus difficile pour les attaquants de détourner la plateforme.
Les principales fonctionnalités de sécurité incluent :
Authentification multifactorielle (MFA) pour vérifier l'identité de l'utilisateur avant de lui accorder l'accès.
Intégration de l'ouverture de session unique (SSO (authentification unique)) pour le contrôle d'accès centralisé et l'application des politiques d'authentification de l'entreprise.
Contrôles d'accès basés sur les rôles qui permettent aux administrateurs de limiter les permissions en fonction de la fonction de travail.
Authentification de l'appareil pour garantir que seules les machines approuvées peuvent se connecter.
Journalisation et enregistrement des sessions pour une visibilité sur qui a accédé à quoi et quand.
Contrôles de déploiement granulaires pour restreindre l'installation de Splashtop Streamer aux systèmes approuvés.
Notre Engagement envers la Sécurité
Splashtop prend la sécurité au sérieux et surveille de près les rapports de menaces cybernétiques impliquant nos produits, même lorsque l'activité résulte d'une mauvaise utilisation plutôt que d'une vulnérabilité. Nous croyons que la transparence est essentielle pour maintenir la confiance avec nos clients et partenaires.
Nos équipes de sécurité et d'ingénierie évaluent continuellement les scénarios potentiels d'abus, améliorent les capacités de détection et fournissent des conseils pour aider les clients à configurer Splashtop de manière sécurisée. Lorsque de nouvelles informations sur les menaces émergent, nous évaluons si des modifications des fonctionnalités du produit, des paramètres par défaut ou des matériaux éducatifs pour les clients sont nécessaires.
Lorsque Splashtop est déployé et géré par des administrateurs autorisés, il reste une plateforme sécurisée et fiable pour l'accès à distance. En combinant nos fonctionnalités de sécurité intégrées avec des protections des points de terminaison et une formation à la sensibilisation des utilisateurs, les organisations peuvent réduire considérablement le risque d'utilisation abusive.
Explorez nos produits Splashtop et contactez-nous pour en savoir plus sur nos solutions et notre sécurité.
