Новая кампания Lorem Ipsum: вредоносные установщики Microsoft Teams через SEO-отравление атакуют пользователей по всему миру

Злоумышленники воспользовались распространённой схемой: они создали поддельные сайты, которые с помощью методов поисковой оптимизации оказываются на первых позициях в Google и Bing при запросе "Microsoft Teams". На таких сайтах работает только одна кнопка загрузки. Все остальные ссылки возвращают пользователя на главную страницу. Серверная часть отслеживает IP-адреса: каждому адресу установщик доставляется только один раз. Если попытаться скачать файл повторно, выдаётся предыдущая версия.

Установщики представляют собой MSI-пакеты (формат установочных файлов Windows). Они подписаны действующими цифровыми сертификатами, которые были выданы на разные имена физических лиц и действуют не более трёх дней. Это позволяет обходить защиту Windows и систем обнаружения на конечных точках (EDR), а также затрудняет отзыв сертификатов. Внутри каждого пакета находится легитимный установщик Microsoft Teams и скрытый сценарий на языке PowerShell, который запускается с флагом -WindowStyle Hidden, то есть незаметно для пользователя. Легитимный установщик работает на переднем плане, отвлекая внимание.

Специалисты BlueVoyant обнаружили, что весь процесс загрузки состоит из нескольких ступеней, каждая из которых снимает очередной уровень обфускации. Первый сценарий PowerShell получает из командной строки ключ и вектор инициализации для расшифровки встроенного AES-шифрованного (стандарт симметричного шифрования) полезного груза. Далее следует второй сценарий, который декодирует Base64, распаковывает gzip и загружает код непосредственно в память, не записывая его на диск. Третий сценарий обеспечивает закрепление в системе (persistence): он копирует исходную команду PowerShell в ветку реестра Run, так что вредонос запускается при каждой загрузке системы. В более старых версиях загрузчик хранил полезную нагрузку в виде десятичных чисел. Новые версии используют алгоритм на основе подстановочного шифра (substitution cipher), где два текстовых массива - шифротекст и ключ - вместе позволяют восстановить исполняемые байты. Ни один из массивов по отдельности не похож на вредоносный код.

После этого загрузчик, названный Lorem Ipsum, начинает работу с закреплённым в нём файлом изображения в формате JFIF (формат обмена JPEG-файлами). Он подготавливает библиотеки Windows через вызовы LoadLibraryA и GetProcAddress, создаёт мьютекс (объект синхронизации потоков) для предотвращения повторного запуска и переходит к самой необычной части: получению адресов командного центра (C2). Вместо того чтобы хранить домены внутри кода, злоумышленники используют легитимную индийскую платформу вопросов и ответов letsdiskuss.com в качестве "мёртвого ящика" (dead-drop resolver). Они создали поддельные профили, в описании которых зашифрована информация о командных серверах. Загрузчик делает обычный HTTP-запрос к странице профиля, извлекает содержимое между маркерами -=( и )=- и с помощью подстановочного шифра, аналогичного тому, что применялся в сценарии PowerShell, восстанавливает домены C2.

Найдя активный командный центр, загрузчик отправляет ему запрос с заголовком Content-Type: image/jpeg. В теле запроса передаётся JFIF-изображение, к которому при необходимости добавляются дополнительные байты, зашифрованные XOR-алгоритмом (операция исключающего ИЛИ) с жёстко заданным ключом JPEG. Сервер отвечает своим JFIF-файлом, в котором также могут быть скрыты данные за пределами границ изображения. Ответ содержит новый универсальный уникальный идентификатор (UUID) для данной жертвы. Загрузчик сохраняет этот UUID во временную папку, преобразует строку в бинарное представление через UuidFromStringA, делает память исполняемой через VirtualProtect и передаёт управление полученному коду. Таким образом, весь канал связи замаскирован под обычный обмен картинками.

Бэкдор, активируемый на последнем этапе, также использует библиотеки и API через LoadLibraryA и GetProcAddress. Он генерирует собственный 32-байтовый ключ AES и вектор с помощью CryptGenRandom, собирает информацию о скомпрометированном хосте (имя компьютера, домен, версия ОС, имя пользователя, сведения об аппаратном обеспечении), кодирует её Base64, шифрует сгенерированным ключом и отправляет на командный центр в виде очередного JFIF-файла. Ответ сервера также содержит изображение. Цикл повторяется до тех пор, пока сервер отвечает. Хотя во время исследования специалисты BlueVoyant не наблюдали загрузки дополнительных модулей, бэкдор содержит функции для запуска произвольного кода через VirtualProtect, что даёт злоумышленникам гибкость для развёртывания дальнейших инструментов на ценных целях.

Анализ временных меток подписей показал, что сертификаты использовались только в будние дни, в интервале с 10:14 до 17:16 UTC. Такая закономерность указывает на организованную работу в одном из часовых поясов от UTC+2 до UTC+5, что охватывает Восточную Европу, Россию, Ближний Восток и Южную Азию. Хотя это лишь косвенный признак, он согласуется с общей картиной.

Группировка показывает очень высокий темп развития. Первый тестовый образец, обнаруженный в феврале 2026 года, был просто модифицированным бинарным файлом с изменённой точкой входа. К середине марта появился рабочий многоступенчатый загрузчик на PowerShell. К апрелю были добавлены подстановочный шифр, XOR-расшифровка, подмена DLL (DLL sideloading - техника, при которой легитимная программа загружает вредоносную библиотеку, маскирующуюся под стандартную), а архитектура командного центра перешла к сегментации по UUID. Столь стремительное совершенствование за десять недель заставляет предполагать использование больших языковых моделей (LLM) для ускорения разработки, что BlueVoyant уже наблюдает у других новых групп. Финансирование кампании также впечатляет: постоянная регистрация одноразовых доменов через NameCheap с услугой скрытия личности, приобретение короткоживущих сертификатов, аренда выделенных IP-адресов для каждого домена и затраты на поддержание SEO-отравления, способного обойти официальные результаты Microsoft.

Специалистам по безопасности следует обратить внимание на поведенческие индикаторы: необычные запросы к letsdiskuss.com на страницы профилей, запуск PowerShell из процесса msiexec, запись файлов в папку %AppData%/Roaming, короткоживущие сертификаты разработчика Microsoft ID Verified, а также трафик с JFIF-изображениями, направленными на нестандартные конечные точки. Кампания Lorem Ipsum демонстрирует появление серьёзного криминального игрока среднего звена, способного быстро адаптироваться и вкладывать значительные ресурсы. Вероятнее всего, группа действует как брокер начального доступа, продавая доступ к скомпрометированным сетям другим злоумышленникам, финальную полезную нагрузку в ходе исследования увидеть не удалось. Защитникам необходимо готовиться к дальнейшему усложнению инструментов и усилить поведенческий мониторинг.

Domains

• biblegodlike.com
• graburban.com
• letsdiskuss.com
• official-teams-storage.com
• plainraw.com
• reeeeealy.com
• semigoddess.com
• valeurban.com

URLs

• https://official-teams-storage.com/files_dws_arch/MTSetup_v15.3.71194.msi
• https://www.letsdiskuss.com/user/dhuahsd12d2752

SHA256

• 045b76fa552dbfdfb7e5de66c9c599fe91151384be6a9849ec8965aa7251b818
• 448afbdb6752c86e627d269ea244994d2c072d5110b490232dd7834943b043cb
• 82ebca8612e203f6d8a2dcdc5e586095ebf94e5e29724ba92cd8bd090df47eb2
• ba5d73ca2c5aced43c7605e5652ba31fc63ca9b1f419ee4b934757c010c60f75