Поддельные установщики Microsoft Teams распространяют вредоносное ПО Oyster через вредоносную рекламу

Было замечено, что хакеры используют SEO-отравление и рекламу в поисковых системах для продвижения поддельных установщиков Microsoft Teams, которые заражают устройства Windows бэкдором Oyster, обеспечивающим первоначальный доступ к корпоративным сетям.

Вредоносная программа Oyster, также известная как Broomstick и CleanUpLoader, представляет собой бэкдор, который впервые появился в середине 2023 года и с тех пор был связан с несколькими кампаниями. Эта вредоносная программа предоставляет злоумышленникам удалённый доступ к заражённым устройствам, позволяя им выполнять команды, устанавливать дополнительные вредоносные программы и передавать файлы.

Oyster обычно распространяется через вредоносные рекламные кампании (https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/), имитирующие популярные ИТ-инструменты, такие как Putty и WinSCP. Программы-вымогатели, например Rhysida, также используют это вредоносное ПО для взлома корпоративных сетей.

Поддельный установщик Microsoft Teams распространяет вредоносное ПО

В рамках новой кампании по распространению вредоносной рекламы и SEO-отравлению, выявленной Blackpoint SOC, злоумышленники продвигают поддельный сайт, который появляется при поиске по запросу «Teams download».

Вредоносный сайт для скачивания Microsoft Teams в Bing
Источник: Blackpoint

Хотя реклама и домен не подделывают домен Microsoft, они ведут на сайт teams-install[.]top, который имитирует сайт загрузки Microsoft Teams. При нажатии на ссылку для скачивания загружается файл с именем «MSTeamsSetup.exe», которое совпадает с именем файла, используемого при официальной загрузке Microsoft.

Поддельный сайт Microsoft Teams, распространяющий установщик вредоносного ПО Oyster
Источник: Blackpoint

Вредоносный файл MSTeamsSetup.exe [VirusTotal (https://www.virustotal.com/gui/file/9dc86863e3188912c3816e8ba21eda939107b8823f1afc190c466a7d5ca708d1)] был подписан сертификатами компаний «4th State Oy» и «NRM NETWORK RISK MANAGEMENT INC», чтобы придать файлу легитимность.

Однако при запуске поддельный установщик поместил вредоносную библиотеку DLL под названием CaptureService.dll [VirusTotal (https://www.virustotal.com/gui/file/d47f28bf33f5f6ee348f465aabbfff606a0feddb1fb4bd375b282ba1b818ce9a)] в папку %APPDATA%\Roaming.

Для обеспечения постоянства установщик создаёт запланированное задание под названием «CaptureService», которое запускает DLL каждые 11 минут, гарантируя, что бэкдор будет активен даже после перезагрузки.

Эта активность напоминает предыдущие поддельные установщики Google Chrome и Microsoft Teams (https://www.rapid7.com/blog/post/2024/06/17/malvertising-campaign-leads-to-execution-of-oyster-backdoor/), которые продвигали Oyster, что свидетельствует о том, что SEO-отравление и вредоносная реклама остаются популярными методами взлома корпоративных сетей.

«Эта активность свидетельствует о том, что злоумышленники продолжают использовать SEO-отравление и вредоносную рекламу для распространения бэкдоров под видом надёжного программного обеспечения», — заключает Blackpoint.

«Подобно мошенническим кампаниям с использованием PuTTY, которые наблюдались в начале этого года, злоумышленники пользуются доверием пользователей к результатам поиска и известным брендам, чтобы получить первоначальный доступ».

Поскольку ИТ-администраторы часто становятся жертвами злоумышленников, пытающихся получить доступ к учётным данным с высокими привилегиями, им рекомендуется загружать программное обеспечение только с проверенных сайтов и не переходить по ссылкам в поисковых системах.

Редактор: AndreyEx