Rhysida използва платформите на Microsoft за нова мащабна малуeр кампания

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Групата Rhysida, известна преди като Vice Society, започна нова фишинг и малуeр кампания, насочена към потребители на Microsoft Teams, Zoom и Putty. Престъпниците използват злонамерени реклами в търсачката Bing, които водят до фалшиви страници за изтегляне.

След като нищо неподозиращият потребител кликне върху бутона „Download“, неговото устройство се заразява с малуeр, наречен OysterLoader. Това е инструмент за първоначален достъп, който позволява на атакуващите да инсталират допълнителен зловреден софтуер и да останат незабелязани в системата.

„Най-новите кампании промотират реклами за Microsoft Teams и имитират официални страници за изтегляне“, посочват изследователи от Expel, които разкриха схемата.

Опасен достъп и ниска степен на засичане

OysterLoader използва криптирани компоненти, за да прикрие функциите си, което затруднява ранното откриване от антивирусни системи. Според експертите това е първата стъпка към по-дълбока мрежова компрометация, при която престъпниците могат да крадат данни в продължение на седмици или месеци.

Освен това Rhysida злоупотребява с код-подписващи сертификати на Microsoft, предназначени да гарантират, че дадени файлове идват от доверени източници.

Злоупотреба с Trusted Signing и сертификати

Групата е успяла да заобиколи защитни механизми и да използва услугата Microsoft Trusted Signing, за да подписва зловредни файлове като легитимни. Това ѝ позволява да бypcвa системите за сигурност и да увеличава мащаба на атаките си.

Само между юни и ноември тази година са били открити над 40 уникални код-подписващи сертификата, използвани от Rhysida – значително повече спрямо едва седем за същия период през миналата година.

Освен OysterLoader, Rhysida използва и друг зловреден инструмент – Latrodectus, който често е подписан със същите компрометирани сертификати.

Реакция на Microsoft и продължаваща заплаха

В отговор Microsoft анулира над 200 компрометирани сертификата, свързани с групата. Въпреки това изследователите предупреждават, че кампанията с малуър чрез реклами продължава активно и че Rhysida все още успява да намира начини да се промъкне през пропуски в контрола на сигурността.

 

#Microsoft Teams, # OysterLoader, # Rhysida, # Trusted Signing, # кибератака
e-security.bg

Подобни

Злоупотреба с Chrome разширения
12.03.2026
browser-773215_1280
Living off the Cloud -новата стратегия на хакерите
12.03.2026
80% of companies experience security incidents in the Cloud
BlackSanta: Новият EDR Killer, насочен към HR отдели
12.03.2026
openclipart-vectors-santa-claus-156503_640
BeatBanker комбинира банков троян и крипто-майнинг
12.03.2026
malware_android
Новата техника “Zombie ZIP” заобикаля антивируси и EDR решения
12.03.2026
caixopolis-geek-5216811_640
Новият ботнет KadNap превръща ASUS рутери в прокси мрежа
12.03.2026
botnet

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.