Компания Rapid7 обнаружила вредоносную рекламную кампанию, которая привлекала пользователей к загрузке вредоносных инсталляторов для программ, включая Google Chrome и Microsoft Teams. Инсталляторы содержали бэкдор, известный как Oyster или Broomstick, который служил для установки дополнительной вредоносной нагрузки. Эта кампания использовала поддельные веб-сайты, которые маскировались под официальные ресурсы Microsoft Teams, чтобы убедить пользователей в легитимности загружаемых файлов.
Oyster Malware
Инциденты с использованием поддельных сайтов были замечены несколько раз, где пользователи, ища программное обеспечение Microsoft Teams через поисковые системы, попадали на сайты с опечатками. Некоторые из загруженных файлов имели действительные сертификаты от фирм "Shanxi Yanghua HOME Furnishings Ltd" и "Shanghai Ruikang Decoration Co., Ltd", что придавало им вид легитимности. Данные сертификаты были замечены на других файлов, связанных с вредоносной программой Oyster.
Oyster, также известный как Broomstick или CleanUpLoader, это семейство вредоносных программ, которое впервые было обнаружено исследователями из IBM в сентябре 2023 года. Это вредоносное ПО поставлялось через загрузчик под видом программы установки браузера и содержал компоненты для сбора информации о компьютере, выполнения удаленного кода и связи с сервером-контроллером. В последних инцидентах Rapid7 наблюдала, что компонент бэкдора Oyster Main поставлялся без его установщика.
Технический анализ показал, что инсталлятор Microsoft Teams содержал двоичные файлы, которые были сохранены в папку Temp и запущены через функцию rundll32.exe. Один из этих файлов, CleanUp30.dll, создавал взаимное исключение (мьютекс) для определения, не выполняется ли уже другой экземпляр программы. Затем он создавал запланированную задачу ClearMngs. После выполнения CleanUp30.dll запускался легитимный инсталлятор Microsoft Teams с целью не вызывать подозрений.
Обнаружение этой вредоносной кампании дает понимание о том, как злоумышленники используют поддельные веб-сайты и маскировку под легитимные файлы для распространения своего вредоносного ПО. Это также подчеркивает важность пользовательской осторожности при загрузке и установке программного обеспечения, особенно с подозрительных и неизвестных источников.
Indicators of Compromise
IPv4
- 149.248.79.62
- 206.166.251.114
- 64.95.10.243
Domains
- impresoralaser.pro
- micrsoft-teams-download.com
- prodfindfeatures.com
- retdirectyourman.eu
- supfoundrysettlers.us
- whereverhomebe.com
SHA256
- 574c70e84ecdad901385a1ebf38f2ee74c446034e97c33949b52f3a2fddcd822
- 82b246d8e6ffba1abaffbd386470c45cef8383ad19394c7c0622c9e62128cb94
- 9601f3921c2cd270b6da0ba265c06bae94fd7d4dc512e8cb82718eaa24accc43
- cfc2fe7236da1609b0db1b2981ca318bfd5fbbb65c945b5f26df26d9f948cbb4
