Escroqueries, renseignements sur les menaces

Comment de fausses invitations à des fêtes sont utilisées pour installer des outils d'accès à distance

par Stefan Dasic | 2 février 2026
invitation à une fête

« Vous êtes invité ! » 

Cela semble amical, familier et tout à fait inoffensif. Mais dans une arnaque que nous avons récemment repérée, cette simple phrase est utilisée pour inciter les victimes à installer un outil d'accès à distance complet sur leurWindows , donnant ainsi aux pirates un contrôle total sur le système. 

Ce qui semble être une invitation à une fête ou à un événement informel conduit à l'installation silencieuse deScreenConnect, un outil d'assistance à distance légitime installé discrètement en arrière-plan et utilisé de manière abusive par des pirates informatiques. 

Voici comment fonctionne cette arnaque, pourquoi elle est efficace et comment vous en protéger. 

L'e-mail : une invitation à une fête 

Les victimes reçoivent un e-mail présenté comme une invitation personnelle, souvent rédigé de manière à donner l'impression qu'il provient d'un ami ou d'une connaissance. Le message est délibérément informel et convivial, afin de réduire la méfiance et d'encourager une réponse rapide. 

Dans la capture d'écran ci-dessous, l'e-mail provient d'un ami dont le compte a été piraté, mais il aurait tout aussi bien pu provenir d'un expéditeur que vous ne connaissez pas.

Jusqu'à présent, nous n'avons vu cette campagne cibler que les habitants du Royaume-Uni, mais rien ne l'empêche de s'étendre à d'autres pays. 

En cliquant sur le lien contenu dans l'e-mail, vous accédez à une page d'invitation soignée hébergée sur un domaine contrôlé par l'attaquant. 

Invitation à une fête envoyée par e-mail par un contact

L'invitation : la page d'accueil qui mène à un programme d'installation 

La page d'accueil s'appuie fortement sur le thème de la fête, mais au lieu d'afficher les détails de l'événement, elle incite l'utilisateur à ouvrir un fichier. Aucun d'entre eux ne semble dangereux en soi, mais ensemble, ils maintiennent l'attention de l'utilisateur sur le fichier « invitation » : 

  • Un titre audacieux « Vous êtes invité ! » 
  • La suggestion qu'un ami avait envoyé l'invitation 
  • Un message indiquant que l'invitation s'affiche mieux sur unWindows ou de bureauWindows
  • Un compte à rebours suggérant que votre invitation est déjà en cours de « téléchargement ». 
  • Un message suggérant l'urgence et la preuve sociale (« J'ai ouvert le mien et c'était tellement facile ! »

En quelques secondes, le navigateur est redirigé vers le téléchargement. RSVPPartyInvitationCard.msi 

La page déclenche même automatiquement le téléchargement afin que la victime continue sans s'arrêter pour réfléchir. 

Ce fichier MSI n'est pas une invitation. C'est un programme d'installation. 

La page d'accueil

L'invité : Ce que fait réellement le MSI 

Lorsque l'utilisateur ouvre le fichier MSI, celui-ci lance msiexec.exe et installe silencieusementScreenConnect Client, un outil d'accès à distance légitime souvent utilisé par les équipes d'assistance informatique.  

Il n'y a pas d'invitation, de formulaire de réponse ni d'entrée dans le calendrier. 

Ce qui se passe à la place : 

  • Les binaires ScreenConnect sont installés sous C:\Program Files (x86)\ScreenConnect Client\ 
  • Un Windows persistant est créé (par exemple, ScreenConnect Client 18d1648b87bb3023). 
  • ScreenConnect installe plusieurs composants basés sur .NET. 
  • Il n'y a aucune indication claire pour l'utilisateur qu'un outil d'accès à distance est en cours d'installation. 

Du point de vue de la victime, il ne semble pas se passer grand-chose. Mais à ce stade, l'attaquant peut désormais accéder à distance à son ordinateur. 

L'après-fête : l'accès à distance est établi 

Une fois installé, le client ScreenConnect établit des connexions sortantes cryptées vers les serveurs relais de ScreenConnect, y compris un domaine d'instance attribué de manière unique.

Cette connexion donne à l'attaquant le même niveau d'accès qu'un technicien informatique distant, notamment la possibilité de : 

  • Voir l'écran de la victime en temps réel
  • Contrôler la souris et le clavier 
  • Télécharger ou téléverser des fichiers 
  • Conserver l'accès même après le redémarrage de l'ordinateur 

ScreenConnect étant un logiciel légitime couramment utilisé pour l'assistance à distance, sa présence n'est pas toujours évidente. Sur un ordinateur personnel, les premiers signes sont souvent comportementaux, tels que des mouvements de curseur inexpliqués, windows toutes seules ou un processus ScreenConnect que l'utilisateur ne se souvient pas avoir installé. 

Pourquoi cette arnaque fonctionne 

Cette campagne est efficace car elle cible un comportement humain normal et prévisible. Du point de vue de la sécurité comportementale, elle exploite notre curiosité naturelle et semble présenter peu de risques. 

La plupart des gens ne considèrent pas les invitations comme dangereuses. Ouvrir une invitation semble être un geste passif, comme jeter un œil à un prospectus ou consulter un message, et non comme installer un logiciel. 

Même les utilisateurs sensibilisés à la sécurité sont formés pour être attentifs aux avertissements et aux pressions. Un message amical du type « vous êtes invité » ne déclenche pas ces alarmes. 

Lorsque quelque chose semble anormal, le logiciel est déjà installé. 

Signes indiquant que votre ordinateur est peut-être infecté 

À surveiller : 

  • Un fichier téléchargé ou exécuté nommé RSVPPartyInvitationCard.msi 
  • Installation inattendue deScreenConnect Client 
  • Windows nommé ScreenConnect Client avec des caractères aléatoires  
  • Votre ordinateur établit des connexions HTTPS sortantes vers les domaines relais ScreenConnect. 
  • Votre système résout le domaine d'hébergement des invitations utilisé dans cette campagne, xnyr[.]digital. 

Comment rester en sécurité  

Cette campagne rappelle que les attaques modernes ne consistent souvent pas à s'introduire dans un système, mais à y être invitées. Les outils d'accès à distance permettent aux pirates d'exercer un contrôle approfondi sur un système. Une réaction rapide peut limiter les dégâts.  

Pour les particuliers 

Si vous recevez un e-mail comme celui-ci : 

  • Méfiez-vous des invitations qui vous demandent de télécharger ou d'ouvrir un logiciel. 
  • N'exécutez jamais les fichiers MSI provenant d'e-mails non sollicités. 
  • Vérifiez les invitations via un autre canal avant d'ouvrir quoi que ce soit. 

Si vous avez déjà cliqué ou exécuté le fichier :  

  • Déconnectez-vous immédiatement d'Internet. 
  • Recherchez ScreenConnect et désinstallez-le s'il est présent. 
  • Effectuer une analyse de sécurité complète 
  • Modifiez les mots de passe importants à partir d'un appareil propre et non affecté. 

Pour les organisations (en particulier au Royaume-Uni) 

  • Alerte concernant les installations non autorisées de ScreenConnect
  • Limiter l'exécution des fichiers MSI lorsque cela est possible 
  • Considérez les « outils d'assistance à distance » comme des logiciels à haut risque.
  • Informer les utilisateurs : les invitations ne sont pas des programmes d'installation. 

Cette arnaque fonctionne en installant un outil d'accès à distance légitime sans intention claire de la part de l'utilisateur. C'est exactement la faille Malwarebytes conçu pour détecter.

Malwarebytes détecteMalwarebytes les outils d'accès à distance nouvellement installés et vous alerte lorsqu'un tel outil apparaît sur votre système. Vous avez alors le choix : confirmer que l'outil est attendu et fiable, ou le supprimer s'il ne l'est pas.

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

AI
Une main se tend pour saisir un astérisque d'un mot de passe écrit.

Les mots de passe générés par l'IA constituent un risque pour la sécurité.

Février 19, 2026

Les mots de passe générés par l'IA sont « hautement prévisibles » et ne sont pas véritablement aléatoires, ce qui les rend plus faciles à pirater pour les cybercriminels.

Actualités
Logo Tenga

Le fabricant de produits intimes Tenga a divulgué les données de ses clients

Février 19, 2026

Une attaque de phishing visant un employé de Tenga pourrait avoir exposé les données de clients américains. Les clients doivent être vigilants face aux tentatives de phishing ayant pour thème le chantage sexuel.

Violations de données
Logo Betterment

La violation des données de Betterment pourrait être plus grave que prévu

Février 18, 2026

Cette violation semble désormais beaucoup plus grave. Les données divulguées comprennent des informations personnelles et financières détaillées que les hameçonneurs pourraient utiliser.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries