Главная страница » Индикаторы компрометации
0
3 часа
Индикаторы компрометации

Киберпреступники используют поддельные установщики Microsoft Teams для распространения бэкдора Oyster

information security

Специалисты по кибербезопасности обнаружили сложную кампанию, в ходе которой злоумышленники используют вредоносную рекламу и поисковую оптимизацию для распространения поддельных установщиков Microsoft Teams, содержащих бэкдор Oyster. Об этом сообщает Blackpoint Cyber.

Описание

Атака нацелена на пользователей, которые ищут легальные способы загрузки Microsoft Teams через поисковые системы. При вводе запросов вроде «teams download» жертвы видят мошеннические рекламные объявления, которые почти неотличимы от официальных страниц загрузки Microsoft. Эти объявления перенаправляют пользователей на поддельные сайты, размещающие троянизированные установщики, замаскированные под легитимное программное обеспечение Teams.

Вредоносный домен, обслуживающий поддельный установщик Microsoft Teams

Одним из идентифицированных доменов атаки стал teams-install[.]top, который раздавал вредоносные файлы MSTeamsSetup.exe ничего не подозревающим пользователям. Поддельные установщики выглядят аутентично и даже содержат цифровые подписи от организаций «4th State Oy» и «NRM NETWORK RISK MANAGEMENT INC», что позволяет обойти базовые проверки безопасности и снижает подозрительность пользователей.

После запуска вредоносный установщик развертывает бэкдор Oyster, также известный как Broomstick. Это модульное многоэтапное вредоносное ПО, предназначенное для постоянного удаленного доступа. Программа сбрасывает файл DLL с именем CaptureService.dll в случайно сгенерированную папку в каталоге %APPDATA%\Roaming пользователя.

Для обеспечения постоянства присутствия вредоносное ПО создает запланированную задачу с именем «CaptureService», которая регулярно запускает rundll32.exe для загрузки вредоносной DLL. Этот метод позволяет бэкдору маскироваться под обычную активность системы Windows, сохраняя при этом долгосрочный доступ к скомпрометированным системам.

Бэкдор Oyster предоставляет злоумышленникам широкие возможности, включая удаленный доступ к системе, сбор информации о хосте, коммуникации с командным центром управления и возможность развертывания дополнительных полезных нагрузок. В ходе этой кампании исследователи наблюдали, как вредоносное ПО взаимодействует с контролируемыми злоумышленниками доменами, включая nickbush24[.]com и techwisenetwork[.]com.

Данная кампания поразительно напоминает предыдущие кампании по распространению поддельного клиента PuTTY, что указывает на устойчивую тенденцию, когда киберпреступники используют доверенные программные бренды для получения первоначального доступа к системе. Выдавая себя за широко используемые корпоративные инструменты для совместной работы, злоумышленники увеличивают шансы на успешное заражение, сохраняя при этом скрытность.

Эксперты рекомендуют командам безопасности отслеживать несколько ключевых индикаторов, включая новые запланированные задачи с именем «CaptureService», процессы rundll32.exe, загружающие DLL из подозрительных каталогов, и сетевые коммуникации с недавно зарегистрированными или подозрительными доменами.

Организации могут защитить себя, внедрив несколько мер безопасности. Необходимо загружать программное обеспечение исключительно с официальных доменов поставщиков, а не из результатов поиска. Рекомендуется использовать сохраненные закладки для доверенных загрузок программного обеспечения, развертывать системы контроля белых списков для блокировки неподписанных или ненадежных установщиков, а также проводить обучение пользователей рискам, связанным с вредоносной рекламой и отравлением поисковой выдачи.

Кампания демонстрирует, как злоумышленники продолжают использовать доверие пользователей к знакомому корпоративному программному обеспечению и результатам поисковых систем для снижения барьеров заражения. Комбинируя методы вредоносной рекламы с семействами массового вредоносного ПО, атакующие создают эффективные векторы атак, которые могут обходить традиционные средства контроля безопасности.

Специалисты по безопасности подчеркивают важность обучения пользователей и технических средств контроля для противодействия этим все более изощренным атакам социальной инженерии, нацеленным на загрузку корпоративного программного обеспечения. По их мнению, только сочетание технических мер и повышения осведомленности пользователей может эффективно противостоять таким угрозам, которые эксплуатируют человеческий фактор и доверие к известным брендам.

Индикаторы компрометации

Domains

  • nickbush24.com
  • teams-install.top
  • techwisenetwork.com

MD5

  • 5325f705e2195f49df0fdc41af6934b0
  • 94297d9999a734593e53da1fe28e38bc

SHA1

  • bc8cd78ade90511d488823e289eed30708d275f9
  • e0a2cb7450b0d71d03e07d76fefa9c0555b8e931

SHA256

  • 9dc86863e3188912c3816e8ba21eda939107b8823f1afc190c466a7d5ca708d1
  • d47f28bf33f5f6ee348f465aabbfff606a0feddb1fb4bd375b282ba1b818ce9a
Комментарии: 0
Похожие записи
0
26.08.2025
Индикаторы компрометации

Поддельный PuTTY: малвертайзинг стал угрозой для привилегированных пользователей

information security
В мире кибербезопасности давно устоялось мнение, что рядовые пользователи представляют собой наиболее уязвимое звено. Однако недавний инцидент, обработанный экспертами LevelBlue Managed Detection and Response
0
03.07.2025
Индикаторы компрометации

Зловредная рекламная кампания распространяет бэкдор Oyster/Broomstick через SEO-отравление и троянизированные утилиты

information security
С начала июня 2025 года специалисты компании Arctic Wolf зафиксировали активную кампанию по SEO-отравлению и размещению вредоносной рекламы (malvertising), нацеленную на распространение троянизированных
0
29.07.2025
Индикаторы компрометации

Oyster Backdoor: опасный троян, маскирующийся под популярные IT-инструменты

information security
В начале июня 2025 года исследователи Arctic Wolf сообщили о масштабной кампании с использованием вредоносной рекламы, в рамках которой распространялся бэкдор Oyster, замаскированный под легитимные программы, такие как PuTTY, KeePass и WinSCP.