Зловредният софтуер Oyster (познат още като Broomstick и CleanUpLoader) се появи за първи път през 2023 г. и оттогава е използван в редица кампании. Той предоставя на нападателите отдалечен достъп до заразените устройства, като им позволява да изпълняват команди, да качват нови полезни товари и да прехвърлят файлове.

Oyster често се разпространява чрез malvertising кампании, които имитират популярни IT инструменти като PuTTY и WinSCP. Дори групи за рансъмуер атаки, като Rhysida, вече са използвали този бекдор за проникване в корпоративни мрежи.

Фалшиви сайтове за Microsoft Teams

В нова кампания, засечена от Blackpoint SOC, хакери използват SEO poisoning и реклами в търсачките, за да насочват потребители към сайт-имитация на Microsoft Teams. При търсене на „Teams download“ в Bing може да се появи зловреден резултат, който води до домейна teams-install[.]top.

На пръв поглед сайтът прилича на легитимния портал за изтегляне на Microsoft Teams. Линкът предлага файл с име MSTeamsSetup.exe – същото като оригиналния.

Как работи заразяването

Въпреки че файлът е кодово подписан с валидни сертификати („4th State Oy“ и „NRM NETWORK RISK MANAGEMENT INC“), той инсталира зловреден DLL – CaptureService.dll – в директорията %APPDATA%\Roaming.

За да се гарантира постоянен достъп, се създава планирана задача с име CaptureService, която стартира всеки 11 минути. Така Oyster остава активен дори след рестартиране на компютъра.

Опасността от SEO poisoning

Тази тактика наподобява предишни кампании с фалшиви инсталатори на Chrome и Teams, които също разпространяваха Oyster. Хакерите продължават да злоупотребяват с доверието на потребителите към търсачките и популярните софтуерни брандове, за да осигурят първоначален достъп до корпоративни мрежи.

Препоръки към IT администраторите

• Изтегляйте софтуер само от официални домейни (например microsoft.com).

• Избягвайте кликването върху реклами в търсачки, когато търсите инсталатори.

• Използвайте системи за защита и наблюдение на крайните устройства, които могат да засекат аномалии в процесите.

• Информирайте служителите за риска от malvertising кампании.

Кампанията с фалшиви инсталатори на Microsoft Teams показва, че SEO poisoning и зловредните реклами остават едни от най-успешните методи за заразяване на корпоративни мрежи. Докато потребителите разчитат на доверие в търсачките, нападателите използват това доверие, за да внедряват бекдори като Oyster.