Des cybercriminels se font passer pour des membres du support informatique des entreprises afin d’inciter les utilisateurs à installer des outils d’accès à distance comme
AnyDesk
sous prétexte de « dépannage de sécurité ». Une fois que les victimes suivent ces instructions, les attaquants prennent le contrôle total à distance et exécutent des logiciels malveillants sans fichier directement dans la mémoire système, échappant ainsi aux antivirus et aux outils de détection des postes de travail traditionnels.
Pourquoi c’est important ?
Ingénierie sociale + exécution sans fichier = compromission furtive
Cette attaque combine l’ingénierie sociale classique avec une exécution furtive moderne. En se faisant passer pour des membres du support informatique de confiance, les attaquants exploitent la confiance humaine pour obtenir un accès à distance. Ils déploient ensuite des charges utiles sans fichier, des logiciels malveillants entièrement stockés en mémoire, laissant des traces minimes et contournant de nombreuses solutions de sécurité.
Qu’est-ce qui se passe ?
Notre équipe MXDR a identifié plusieurs incidents où des utilisateurs ont reçu des appels ou des courriels inattendus de personnes se faisant passer pour des « services informatiques d’entreprise » ou « support Microsoft ». Les attaquants invoquent souvent un problème de sécurité du système ou de la messagerie de l’utilisateur, lui demandant de télécharger et d’exécuter AnyDesk ou un outil d’accès à distance similaire.
Une fois la session à distance active, l’attaquant :
- Établit la persistance via PowerShell ou des modifications du registre ;
- Exécute les scripts directement en mémoire, évitant ainsi la détection sur disque ;
- Collecte les identifiants, les jetons de session et les données du navigateur ;
- Déploie des charges utiles supplémentaires telles que des enregistreurs de frappe ou des voleurs d’informations.
Dans plusieurs cas, l’activité malveillante peut passer inaperçue pendant des heures, car l’attaquant a opéré entièrement au sein de la session d’accès à distance légitime.
Pourquoi ça marche ?
- Confiance humaine exploitée : Les attaquants s’appuient sur l’urgence et l’autorité (« Votre compte a été verrouillé » ou « Nous avons détecté un virus ») pour exécuter des instructions.
Abus d’accès à distance :
Des outils comme
AnyDesk
sont légitimes, mais offrent un contrôle total une fois installés.
Techniques sans fichier :
Les charges utiles PowerShell ou .NET malveillantes s’exécutent directement en mémoire, laissant peu d’indicateurs traditionnels.
Absence de fichiers malveillants :
Aucun exécutable n’étant écrit sur le disque, de nombreuses solutions antivirus ne se déclenchent pas.
Comment détecter ces attaques
Signaux d’alerte comportementaux :
- Appels ou courriels non sollicités se faisant passer pour le support informatique ou Microsoft.
- Demandes de téléchargement et d’installation
d’AnyDesk
ou d’outils de diagnostic à distance légitime. - Activité PowerShell ou WMI initiée peu après le début d’une session à distance.
- Connexions inhabituelles ou sollicitations MFA (invitations à approuver une authentification) apparaissant à la suite d’un accès à distance.
Indicateurs techniques :
- Trafic réseau provenant d’adresses IP externes inconnues vers
anydesk.com
ou d’autres domaines d’outils distants. - Commandes PowerShell suspectes telles que Invoke-Expression, IEX ou scripts Base64 codés.
- Processus résidents en mémoire sans exécutables associés sur le disque.
Ce que vous pouvez faire
Mesures d’atténuation immédiates :
- Bloquer les téléchargements et installations d’outils d’accès à distance non autorisés (
AnyDesk
, TeamViewer, etc.) via la stratégie de groupe ou Endpoint Manager. - Activer le mode
Constrained PowerShell
et consigner toutes les exécutions PowerShell (ID d’événement 4104). - Limiter les privilèges d’administrateur pour empêcher les installations de logiciels non autorisées.
- Former le personnel à vérifier toutes les demandes informatiques via les canaux internes officiels avant de les exécuter.
En cas de suspicion de compromission :
- Déconnectez immédiatement l’appareil du réseau.
- Contactez votre centre de contrôle des opérations (SOC) ou l’équipe de réponse aux incidents de GoSecure pour une analyse de la mémoire.
- Réinitialisez les identifiants et révoquez les sessions actives dans Microsoft Entra ID (Azure AD).
- Consultez les journaux d’audit pour détecter toute activité suspecte dans PowerShell, le registre ou les sessions à distance.
Agissez aujourd’hui
Les attaques humaines restent l’une des méthodes d’intrusion les plus efficaces.
Si votre organisation souhaite renforcer les contrôles des terminaux, configurer des restrictions d’accès à distance ou améliorer la sensibilisation des utilisateurs,
contactez GoSecure dès aujourd’hui.
Restez vigilant. Vérifiez avant de faire confiance. N’installez jamais d’outils à distance à la demande d’un service informatique non sollicité.
CAS D'UTILISATION
Cyberrisques
Mesures de sécurité basées sur les risques
Sociétés de financement par capitaux propres
Prendre des décisions éclairées
Sécurité des données sensibles
Protéger les informations sensibles
Conformité en matière de cybersécurité
Respecter les obligations réglementaires
Cyberassurance
Une stratégie précieuse de gestion des risques
Rançongiciels
Combattre les rançongiciels grâce à une sécurité innovante
Attaques de type « zero-day »
Arrêter les exploits de type « zero-day » grâce à une protection avancée
Consolider, évoluer et prospérer
Prenez de l'avance et gagnez la course avec la Plateforme GoSecure TitanMC.
24/7 MXDR
Détection et réponse sur les terminaux GoSecure TitanMC (EDR)
Antivirus de nouvelle génération GoSecure TitanMC (NGAV)
Surveillance des événements liés aux informations de sécurité GoSecure TitanMC (SIEM)
Détection et réponse des boîtes de messagerie GoSecure TitanMC (IDR)
Intelligence GoSecure TitanMC
Notre SOC
Défense proactive, 24h/24, 7j/7