Киберпреступники продолжают активно использовать методы компрометации поисковой выдачи и вредоносной рекламы для проникновения в компьютерные системы. Недавняя кампания наглядно демонстрирует эту тенденцию: злоумышленники заманивают пользователей на поддельные сайты с установщиками Microsoft Teams, которые скрывают бэкдор Oyster (также известный как Broomstick). Этот тип вредоносного программного обеспечения предоставляет атакующим возможность длительного несанкционированного доступа к системам.
Описание
Анализ механизма атаки показывает отработанную схему действий. Злоумышленники манипулируют результатами поисковых систем, размещая фальшивые ссылки для скачивания Microsoft Teams. Неподготовленные пользователи, переходя по таким ссылкам, попадают на мошеннические веб-сайты и загружают установочные файлы с подозрительными сертификатами. Процесс заражения включает размещение вредоносной DLL-библиотеки в папке AppData пользователя, создание запланированной задачи с именем CaptureService и использование легитимного системного процесса rundll32.exe для обеспечения устойчивости вредоносной активности. После установки вредоносная программа устанавливает соединение с контролируемыми злоумышленниками доменами, включая nickbush24.com и teams-install.icu.
Данная кампания представляет значительную угрозу по нескольким причинам. Во-первых, атакующие злоупотребляют доверием к бренду Microsoft, что обеспечивает широкий охват потенциальных жертв. Во-вторых, использование методов поисковой оптимизации и рекламных объявлений позволяет воздействовать на пользователей по всему миру одновременно. В-третьих, применение механизмов устойчивости через запланированные задачи и системные процессы позволяет вредоносной программе оставаться незамеченной. Наконец, Oyster функционирует как загрузчик, что создает потенциальную возможность для последующей доставки более опасных нагрузок, включая программы-вымогатели (ransomware).
Анализ индикаторов компрометации указывает на необходимость мониторинга доменных имен teams-install.icu и IP-адресов типа 185.28.119[.]228, а также контрольных сумм троянизированных установочных файлов. Для раннего обнаружения атаки рекомендуется отслеживать аномальные запуски rundll32.exe, создание новых запланированных задач и загрузки установщиков из неофициальных источников.
Организации могут принять ряд защитных мер, включая интеграцию данных об индикаторах компрометации в системы мониторинга, ограничение загрузки установочных файлов и усиление наблюдения за механизмами обеспечения устойчивости в системах управления событиями информационной безопасности. Важным элементом защиты становится мониторинг внешней атакуемой поверхности, включая выявление поддельных доменов и веб-сайтов, имитирующих официальные ресурсы.
Индикаторы компрометации
IPv4
- 185.28.119.228
- 45.66.248.112
- 54.39.83.187
Domains
- maddeehot.online
- nickbush24.com
- server-na-qc2.farsafe.net
- team.frywow.com
- teams-install.icu
- teams-install.top
- techwisenetwork.com
MD5
- d28b4136a7e6148de5c26a055c711f4f
- d5ecd8120b6a107513b9871ec0475ace
SHA1
- 8d8ceba1b31f4ace5a9c44225014d3947fbf205a
- e7f8da0b97f4207738ce895ef15be4133122b307
SHA256
- 90b633cacfa185dd912a945f370e14191644ecff1300dbce72e2477171753396
- 9dc86863e3188912c3816e8ba21eda939107b8823f1afc190c466a7d5ca708d1
- ac5065a351313cc522ab6004b98578a2704d2f636fc2ca78764ab239f4f594a3
- d46bd618ffe30edea56561462b50eb23feb4b253316e16008d99abb4b3d48a02
- d47f28bf33f5f6ee348f465aabbfff606a0feddb1fb4bd375b282ba1b818ce9a
