Троянизированный установщик Microsoft Teams оказался программой удаленного доступа RustDesk с поддельной подписью

Вредоносный файл с именем MSTeamsSetup.exe, размером около 13,4 мегабайта, впервые появился на платформе MalwareBazaar в начале апреля 2026 года. Он представляет собой исполняемый файл для 32-разрядной архитектуры, подписанный цифровым сертификатом на имя "Zlatin Stamatov". Сертификат был выпущен удостоверяющим центром Certum (входит в структуру польской группы Asseco) всего за 25 дней до обнаружения образца, что указывает на целенаправленное приобретение для подписания вредоносного кода. Других образцов, подписанных этим же сертификатом, на публичных репозиториях не найдено - скорее всего, сертификат либо похищен, либо получен мошенническим путем.

При запуске установщик вместо легитимного приложения Microsoft Teams разворачивает на компьютере жертвы модифицированную версию программы удаленного доступа RustDesk. Это программное обеспечение с открытым исходным кодом, предназначенное для удаленного администрирования, но в руках злоумышленника превращается в инструмент полного контроля над системой. RustDesk устанавливает соединение с сервером управления и контроля (C2) по адресу mon.systemautoupdater[.]com, который разрешается в IP-адрес 23.27.141[.]44. Этот сервер размещен у хостинг-провайдера EvoXT (автономная система AS149440) в Нью-Йорке.

Детальный анализ инфраструктуры атакующего показал, что на этом же сервере работают несколько открытых сервисов: FTP-сервер vsFTPd, SSH (OpenSSH 9.6), веб-сервер Apache с TLS-сертификатом, выписанным на домен calipology[.]com, а также панель управления под названием "Trading Bots Management" на порту 3004, выполненная в виде Svelte-приложения. Исследователи обнаружили прямую связь между этим набором сервисов и предыдущей активностью оператора, известного под ником calipology в Telegram. Ранее этот же оператор использовал фреймворк Striker C2 для управления ботами и, судя по всему, теперь перешел к распространению троянизированного программного обеспечения.

Особый интерес представляет TLS-сертификат на порту 443 основного C2-сервера: он выдан на домен calipology[.]com - тот же самый домен, который использовался в предыдущем расследовании Striker C2. Более того, при обращении к серверу по HTTPS происходит перенаправление на сайт calipology[.]co[.]uk - легальную британскую компанию по восстановлению тормозных суппортов, зарегистрированную еще в ноябре 2019 года. Таким образом, оператор либо сам владеет этим бизнесом, либо использует его в качестве прикрытия. Домен systemautoupdater[.]com, зарегистрированный через GoDaddy с защитой приватности, обслуживает подставную страницу-заглушку с локалью en-PH (Филиппины), что может указывать на попытку имитировать расположение в этой стране.

Сам установщик распространяется через поддельные веб-сайты, имитирующие страницу загрузки Microsoft Teams. Жертва, ищущая "MS Teams Download", попадает на такой сайт и скачивает исполняемый файл. После установки злоумышленник получает полный удаленный доступ к системе: возможность перемещать файлы через FTP, выполнять команды через SSH, использовать RustDesk для прямого управления рабочим столом, а также потенциально управлять криптовалютными торговыми ботами через панель на порту 3004. Последняя деталь наводит на мысль, что оператор вовлечен не только в шпионаж или кражу данных, но и в финансовое мошенничество.

Операционная безопасность атакующего оставляет желать лучшего. Он допустил ряд грубых ошибок: повторно использовал того же хостинг-провайдера EvoXT, что и для Striker C2, оставил TLS-сертификат с именем собственного легального домена на сервере управления, не скрыл перенаправление на свой реальный бизнес, а также оставил открытыми панель управления и стандартные страницы Apache и nginx, свидетельствующие о небрежной настройке. Все эти следы позволяют с высокой уверенностью утверждать, что за атакой стоит один и тот же субъект, вероятно находящийся в Великобритании, хотя происхождение образца - Венгрия, а имя на сертификате - болгарское. Возможно, оператор имеет связи в Восточной Европе.

С точки зрения тактики атака не является уникальной: вредоносные установщики популярного ПО используются злоумышленниками уже много лет. Однако новизна заключается в применении подписанного легитимным сертификатом исполняемого файла, что повышает доверие жертвы и обходит многие средства защиты на основе эвристики. Кроме того, использование открытого инструмента RustDesk вместо собственного кода упрощает разработку и затрудняет обнаружение, так как легитимные копии этой программы часто встречаются в корпоративных средах.

Последствия такой атаки для организации могут быть крайне серьезными: от кражи учетных данных и интеллектуальной собственности до полного захвата контроля над инфраструктурой. Особенно уязвимы компании, сотрудники которых привыкли самостоятельно устанавливать программное обеспечение без санкции ИТ-отдела. Для защиты специалистам по информационной безопасности рекомендуется усилить контроль над установкой стороннего ПО, использовать механизмы AppLocker или аналогичные политики ограничения запуска исполняемых файлов, а также проверять цифровые подписи загружаемых программ. Кроме того, необходимо обращать внимание на подозрительные сертификаты, особенно выписанные на физических лиц, не связанных с разработчиком.

Связь атаки с предыдущими кампаниями Striker C2 подтверждается не только совпадением доменов и хостинга, но и тем, что оператор calipology явно эволюционирует от распространения фреймворков к активному распространению вредоносных установщиков. Это означает, что в ближайшее время могут появиться новые образцы, маскирующиеся под другие популярные приложения. Специалистам следует сохранять бдительность и оперативно обновлять базы сигнатур и индикаторов компрометации.

IPv4

• 13.248.243.5
• 23.27.141.44
• 76.223.105.230

Domains

• calipology.co.uk
• calipology.com
• mon.systemautoupdater.com
• systemautoupdater.com

MD5

• ff8505309831284bff66a1cfd5049dac

SHA1

• 93aa31051cd1bac3bb2ffddb71f93330dcab9d89

SHA256

• 0c8bb17a1c27a39817f4e1bd74b6c616fba3faef909f94772e685e64fe34cef3
• d01148808fbeefa22cd4541cdaaee8bc1f74e3045302115dc5b08b99ff93dc9c