Une attaque de phishing imitant une mise à jour de Google Meet accorde un accès à distance aux PC

Une campagne de phishing a été identifiée, utilisant une fausse invite de mise à jour de Google Meet pour inscrire des ordinateurs Windows dans un système de gestion des appareils contrôlé par des attaquants. Ce développement est notable car il exploite des fonctionnalités Windows légitimes pour obtenir un accès à distance non autorisé aux appareils affectés.

La page de phishing se présente comme une mise à jour de Google Meet, incitant les utilisateurs à cliquer sur les boutons « Mettre à jour maintenant » ou « En savoir plus ». Lorsqu'ils sont cliqués, ces boutons activent l'URI ms-device-enrollment: de Windows, qui ouvre la boîte de dialogue officielle « Configurer un compte de travail ou d'école ». La boîte de dialogue est pré-remplie avec des détails de serveur contrôlés par l'attaquant, rendant le processus légitime aux yeux de l'utilisateur.

Après que l'appareil soit inscrit par ce moyen, le serveur de gestion des appareils mobiles (MDM) de l'attaquant peut utiliser des fonctions standard du système d'exploitation pour installer ou supprimer des logiciels, modifier les paramètres système, accéder aux fichiers, et même verrouiller ou effacer l'appareil. Le serveur MDM utilisé dans l'attaque est hébergé sur Esper, une plateforme MDM commerciale, avec des identifiants de plan et de groupe spécifiques intégrés dans le lien d'inscription.

Une analyse technique provenant de plusieurs sources, y compris des chercheurs en sécurité et des forums de l'industrie, a confirmé que cette campagne imite Google Meet pour inscrire des appareils Windows dans des systèmes MDM malveillants. Les rapports indiquent que les utilisateurs qui interagissent avec la page de phishing accordent sans le savoir aux adversaires un contrôle administratif complet sur leurs ordinateurs.

Ce que montrent les chiffres

• La campagne de phishing utilise l'URI ms-device-enrollment: pour déclencher des boîtes de dialogue d'inscription Windows
• Esper, un fournisseur MDM légitime, est utilisé pour héberger le serveur de l'attaquant avec des ID de groupe intégrés
• Les chercheurs en sécurité et l'analyse technique ont documenté la campagne depuis au moins mars 2026

En plus de la méthode d'inscription MDM, les chercheurs en sécurité ont documenté des campagnes de phishing connexes qui utilisent de fausses pages Google Meet et Zoom pour distribuer le logiciel de surveillance Teramind. Ces campagnes réutilisent Teramind, un outil de surveillance légitime, pour mener une surveillance non autorisée sur des machines Windows.

Une variante de l'attaque présente une page Microsoft Store fabriquée étiquetée « Google Meet pour les réunions », créée par une entité fictive. Cette page livre un installateur MSI de Teramind, élargissant encore la gamme d'outils disponibles pour les attaquants pour un accès et une surveillance non autorisés.

Les discussions communautaires sur les forums de sécurité et Reddit ont souligné que ces campagnes de phishing trompent les utilisateurs en les incitant à inscrire leurs appareils ou à installer des logiciels de surveillance, ce qui permet aux adversaires de prendre le contrôle total des systèmes affectés. L'utilisation de plateformes et de logiciels légitimes dans ces attaques augmente le risque que les utilisateurs soient trompés par l'authenticité des invites et des processus d'installation.

Réaction de l'industrie

Teramind a déclaré qu'il n'était pas impliqué dans la campagne de phishing et a condamné toute utilisation non autorisée de son logiciel. La société a confirmé sa position en réponse aux rapports concernant son outil étant réutilisé pour une surveillance non autorisée à travers ces incidents de phishing.

* Cet article est basé sur des informations publiquement disponibles au moment de la rédaction.