Se recomanda o atenție mărită la instalarea platformei Microsoft Teams, la modul în care navigați pe pagina de descărcări, deoarece experții au avertizat cu privire la o nouă campanie de atac cibernetic care îi determină pe utilizatori să descarce malware.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Cercetătorii în domeniul securității de la Blackpoint SOC au descoperit recent o pagină frauduloasă de descărcări Microsoft Teams găzduită la teams-install[.]top. Aceasta arată aproape identic cu site-ul legitim Microsoft, cu culori, design și fonturi care seamănă cu cele ale site-ului real.
Cu toate acestea, în loc să descarce popularul program de comunicare, victimele primesc backdoor-ul Oyster, un malware cunoscut care le oferă atacatorilor acces complet la computerul compromis, potrivit BleepingComputer.
Hackerii au fost observați folosind SEO poisoning și reclame pe motoarele de căutare pentru a promova site-uri false de instalare Microsoft Teams care infectează dispozitivele Windows cu backdoor-ul Oyster, oferind acces inițial la rețelele corporative.
Malware-ul Oyster, cunoscut și sub numele de Broomstick și CleanUpLoader, este un backdoor care a apărut pentru prima dată la mijlocul anului 2023 și de atunci a fost asociat cu mai multe campanii. Malware-ul oferă atacatorilor acces la distanță la dispozitivele infectate, permițându-le să execute comenzi, să implementeze sarcini suplimentare și să transfere fișiere.
Oyster se răspândește în mod obișnuit prin campanii de publicitate rău intenționată care imită instrumente IT populare, precum Putty și WinSCP. Operațiunile de ransomware, precum Rhysida, au utilizat, de asemenea, malware-ul pentru a sparge rețelele corporative.
Într-o nouă campanie de publicitate rău intenționată și otrăvire SEO identificată de Blackpoint SOC, actorii amenințării promovează un site fals care apare atunci când vizitatorii caută „Teams download”.
Deși reclamele și domeniul nu falsifică domeniul Microsoft, ele conduc la un site web la teams-install[.]top care imită site-ul de descărcare Microsoft Teams. Dacă faceți clic pe linkul de descărcare, se va descărca un fișier numit „MSTeamsSetup.exe”, care este același nume de fișier utilizat de descărcarea oficială Microsoft.
Fișierul rău intenționat MSTeamsSetup.exe [VirusTotal] a fost semnat cu certificate de la „4th State Oy” și „NRM NETWORK RISK MANAGEMENT INC” pentru a adăuga legitimitate fișierului.
Cu toate acestea, la executare, programul de instalare fals a plasat un fișier DLL rău intenționat numit CaptureService.dll [VirusTotal] în folderul %APPDATA%\Roaming.
Pentru persistență, programul de instalare creează o sarcină programată numită „CaptureService” pentru a executa fișierul DLL la fiecare 11 minute, asigurându-se că backdoor-ul rămâne activ chiar și la repornirea sistemului.
Această activitate seamănă cu programele de instalare false Google Chrome și Microsoft Teams anterioare care promovau Oyster, evidențiind faptul că otrăvirea SEO și publicitatea rău intenționată rămân o tactică populară pentru încălcarea rețelelor corporative.
„Această activitate evidențiază abuzul continuu al motoarelor de căutare prin otrăvirea SEO și al reclamelor rău intenționate pentru a livra backdoor-uri sub pretextul unui software de încredere”, concluzionează Blackpoint.
„La fel ca în cazul campaniilor false PuTTY observate la începutul acestui an, atacatorii exploatează încrederea utilizatorilor în rezultatele căutărilor și în mărcile cunoscute pentru a obține acces inițial.”
Deoarece administratorii IT sunt o țintă populară pentru obținerea accesului la date sensibile cu privilegii ridicate, li se recomandă să descarce software numai de pe domenii verificate și să evite să facă clic pe reclamele din motoarele de căutare.
