Hakeri su primećeni kako koriste SEO trovanje i oglase na pretraživačima da promovišu lažne instalatere Microsoft Teams-a koji inficiraju Windows uređaje Oyster backdoor-om, omogućavajući početni pristup korporativnim mrežama.
Oyster malver, poznat i kao Broomstick i CleanUpLoader, je backdoor koji se prvi put pojavio sredinom 2023. godine i od tada je povezan sa više kampanja. Malver napadačima omogućava udaljeni pristup zaraženim uređajima, izvršavanje komandi, postavljanje dodatnih payload-a i prebacivanje fajlova.
Oyster se često širi kroz malvertising kampanje koje se predstavljaju kao popularni IT alati, kao što su Putty i WinSCP. Ransomware operacije, poput Rhysida, takođe su koristile ovaj malver za upade u korporativne mreže.
U novoj malvertising i SEO poisoning kampanji, koju je identifikovao Blackpoint SOC, pretnje promovišu lažni sajt koji se pojavljuje kada korisnici pretražuju ‘Teams download’.
Iako oglasi i domen ne imitiraju Microsoftov domen, vode do sajta teams-install.top koji se predstavlja kao zvanična Teams stranica za preuzimanje. Klikom na link za preuzimanje korisnik skida fajl naziva ‘MSTeamsSetup.exe’, što je isti naziv fajla kao i kod zvanične Microsoft verzije.
Maliciozni MSTeamsSetup.exe je bio potpisan sertifikatima kompanija ‘4th State Oy’ i ‘NRM NETWORK RISK MANAGEMENT INC’ kako bi se fajlu dodala legitimnost.
Međutim, nakon pokretanja, lažni instalater instalira zlonamerni DLL CaptureService.dll u %APPDATA%\Roaming folder.
Za upornost, instalater kreira zakazani zadatak ‘CaptureService’ koji pokreće DLL na svakih 11 minuta, čime se obezbeđuje da backdoor ostane aktivan čak i nakon restartovanja.
Ova aktivnost podseća na prethodne lažne Google Chrome i Microsoft Teams instalatere koji su širili Oyster, što pokazuje da su SEO poisoning i malvertising i dalje popularne taktike za upade u korporativne mreže.
‘Ova aktivnost pokazuje nastavak zloupotrebe SEO trovanja i zlonamernih oglasa za isporuku commodity backdoor-a pod maskom pouzdanog softvera,’ zaključuje Blackpoint.
‘Slično lažnim PuTTY kampanjama ranije ove godine, napadači zloupotrebljavaju poverenje korisnika u rezultate pretrage i poznate brendove za inicijalni pristup.’
Administratori IT-a su česta meta za kompromitovanje privilegovanih akreditiva, i savetuje im se da softver preuzimaju isključivo sa proverenih domena i izbegavaju klikove na oglase u pretraživačima.
Izvor: https://www.bleepingcomputer.com/