Riscuri de securitate la Microsoft Teams, avertizeaza specialistii
Specialistii recomanda atentie la instalarea platformei Microsoft Teams, la navigarea pe pagina de descarcari, deoarece o noua campanie de atac cibernetic aduce, odata cu descarcarile, malware.
Cercetatorii in domeniul securitatii de la Blackpoint SOC au descoperit recent o pagina frauduloasa de descarcari Microsoft Teams gazduita la teams-install[.]top. Aceasta arata aproape identic cu site-ul legitim Microsoft, cu culori, design si fonturi care seamana cu cele ale site-ului real, noteaza g4media.ro.
Astfel, in loc sa descarce programul, folosit pentru sedinte si, in general pentru comunicare, victimele primesc backdoor-ul Oyster, un malware cunoscut care le ofera atacatorilor acces complet la computerul compromis, potrivit BleepingComputer.
Hackerii au fost observati folosind SEO poisoning si reclame pe motoarele de cautare pentru a promova site-uri false de instalare Microsoft Teams care infecteaza dispozitivele Windows cu backdoor-ul Oyster, oferind acces initial la retelele corporative.
Malware-ul Oyster, cunoscut si sub numele de Broomstick si CleanUpLoader, este un backdoor care a aparut pentru prima data la mijlocul anului 2023 si de atunci a fost asociat cu mai multe campanii. Malware-ul ofera atacatorilor acces la distanta la dispozitivele infectate, permitandu-le sa execute comenzi, sa implementeze sarcini suplimentare si sa transfere fisiere.
Oyster se raspandeste in mod obisnuit prin campanii de publicitate rau intentionata care imita instrumente IT populare, precum Putty si WinSCP. Operatiunile de ransomware, precum Rhysida, au utilizat, de asemenea, malware-ul pentru a sparge retelele corporative.
Intr-o noua campanie de publicitate rau intentionata si otravire SEO identificata de Blackpoint SOC, actorii amenintarii promoveaza un site fals care apare atunci cand vizitatorii cauta „Teams download”.
Desi reclamele si domeniul nu falsifica domeniul Microsoft, ele conduc la un site web la teams-install[.]top care imita site-ul de descarcare Microsoft Teams. Daca faceti clic pe linkul de descarcare, se va descarca un fisier numit „MSTeamsSetup.exe”, care este acelasi nume de fisier utilizat de descarcarea oficiala Microsoft.
Fisierul rau intentionat MSTeamsSetup.exe [VirusTotal] a fost semnat cu certificate de la „4th State Oy” si „NRM NETWORK RISK MANAGEMENT INC” pentru a adauga legitimitate fisierului.
Cu toate acestea, la executare, programul de instalare fals a plasat un fisier DLL rau intentionat numit CaptureService.dll [VirusTotal] in folderul %APPDATA%\Roaming.
Pentru persistenta, programul de instalare creeaza o sarcina programata numita „CaptureService” pentru a executa fisierul DLL la fiecare 11 minute, asigurandu-se ca backdoor-ul ramane activ chiar si la repornirea sistemului.
Aceasta activitate seamana cu programele de instalare false Google Chrome si Microsoft Teams anterioare care promovau Oyster, evidentiind faptul ca otravirea SEO si publicitatea rau intentionata raman o tactica populara pentru incalcarea retelelor corporative.
„Aceasta activitate evidentiaza abuzul continuu al motoarelor de cautare prin otravirea SEO si al reclamelor rau intentionate pentru a livra backdoor-uri sub pretextul unui software de incredere”, concluzioneaza Blackpoint.
„La fel ca in cazul campaniilor false PuTTY observate la inceputul acestui an, atacatorii exploateaza increderea utilizatorilor in rezultatele cautarilor si in marcile cunoscute pentru a obtine acces initial.”
Deoarece administratorii IT sunt o tinta populara pentru obtinerea accesului la date sensibile cu privilegii ridicate, li se recomanda sa descarce software numai de pe domenii verificate si sa evite sa faca clic pe reclamele din motoarele de cautare.