Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Лажни Microsoft Teams инсталатори шират Oyster малициозен софтвер преку malvertising

Објавено: 29.09.2025

Хакери се забележани како користат SEO труење и реклами на пребарувачи за да промовираат лажни Microsoft Teams инсталатори кои ги инфицираат Windows уредите со Oyster backdoor, обезбедувајќи почетен пристап до корпоративни мрежи.

Оyster малициозниот софтвер, исто така познат како Broomstick и CleanUpLoader, е backdoor кој првпат се појави во средината на 2023 година и оттогаш е поврзан со повеќе кампањи. Софтверот им овозможува на напаѓачите далечински пристап до инфицирани уреди, со можност за извршување команди, инсталирање дополнителни малициозни програми и пренос на датотеки.

Oyster најчесто се шири преку malvertising кампањи кои се претставуваат како популарни ИТ алатки, како Putty и WinSCP. Рансомвер групи, како Rhysida, исто така го користеле овој софтвер за пробивање на корпоративни мрежи.

Лажен Microsoft Teams инсталатор шири малициозен софтвер

Во нова malvertising и SEO труење кампања, забележана од Blackpoint SOC, заканувачки актери промовираат лажна страница која се појавува кога посетителите пребаруваат „Teams download.“
Иако рекламите и доменот не го имитираат официјалниот Microsoft домен, тие водат кон веб-страница на адреса teams-install[.]top која се претставува како официјална Teams download страница на Microsoft. Кликање на линкот за преземање иницира преземање на датотека наречена „MSTeamsSetup.exe,“ што е истото име на датотеката што го користи и официјалниот Microsoft инсталатор.

Лажна страница на Microsoft Teams која го шири инсталаторот на малициозниот софтвер Oyster

Злонамерниот MSTeamsSetup.exe [VirusTotal] беше потпишан со сертификати од „4th State Oy“ и „NRM NETWORK RISK MANAGEMENT INC“ за да му се даде легитимитет на датотеката.

Сепак, при извршување, лажниот инсталатор испушташе злонамерна DLL датотека со име CaptureService.dll [VirusTotal] во папката %APPDATA%\Roaming.

За перзистентност, инсталаторот креира закажана задача со име “CaptureService” која ја извршува DLL датотеката на секои 11 минути, обезбедувајќи backdoor пристап да остане активен дури и по рестартирање на системот.

Оваа активност наликува на претходни лажни Google Chrome и Microsoft Teams инсталатори кои го ширеа Oyster, нагласувајќи дека SEO труење и malvertising остануваат популарни тактики за пробивање на корпоративни мрежи.

„Оваа активност го нагласува континуираното злоупотребување на SEO труење и злонамерни реклами за испорака на backdoor софтвери под маска на доверливи програми,“ заклучуваат од Blackpoint.

„Слично на лажните PuTTY кампањи забележани порано оваа година, заканувачките актери ја злоупотребуваат довербата на корисниците во резултатите од пребарувачите и познатите брендови за да добијат почетен пристап.“

Бидејќи ИТ администраторите се популарна цел за добивање пристап до привилегирани акредитиви, се препорачува тие да преземаат софтвер исклучиво од проверени домени и да избегнуваат кликање на реклами од пребарувачи.

Извори:

  • Bleeping Computer – „Fake Microsoft Teams installers push Oyster malware via malvertising“ .Bleeping Computer