恶意广告：假冒Microsoft Teams安装程序通过Oyster感染受害者！

通过搜索引擎广告，网络犯罪分子正在分发恶意版本的Microsoft Teams安装程序。他们的目标是什么？用Oyster恶意软件感染Windows系统，这个后门可以为他们打开企业网络的大门。让我们来详细了解。

假冒Teams安装程序的传播

Blackpoint SOC的安全研究人员发现了一个与此次活动相关的新恶意网站：teams-install[.]top。尽管它在搜索结果中没有冒充微软的身份，但它完美模仿了Microsoft Teams的官方下载页面。

为了吸引访问者访问他们的网站，黑客使用了两种技术：SEO投毒和购买搜索引擎广告，针对如"Teams download"这样的查询。这样，他们确保自己的恶意网站出现在搜索结果的前列…

当用户点击链接并下载文件时，他们会得到一个名为"MSTeamsSetup.exe"的可执行文件，与官方文件名相同。此外，为了使可执行文件看起来更合法，它还使用被盗证书进行了数字签名。

“我们检查的MSTeamsSetup.exe样本由4th State Oy和NRM NETWORK RISK MANAGEMENT INC.等发行者签名，“报告指出。

在受害者机器上，安装程序会在%APPDATA%\Roaming文件夹中放置一个恶意的DLL文件CaptureService.dll。为了确保在受感染机器上的持久性，恶意软件创建了一个名为CaptureService的计划任务，每11分钟运行一次。这样做的目的是即使在机器重启后也能保持后门活动。

该恶意软件被称为Oyster（也称为Broomstick和CleanUpLoader），是2023年中首次发现的后门。它的目标很简单：为攻击者提供对受感染系统的远程访问。这种对企业网络的访问权限使他们能够执行命令、部署其他有效负载（如勒索软件）并窃取文件。

与攻击者C2服务器的通信通过以下IP地址进行：45.66.248[.]112, 54.39.83[.]187, 185.28.119[.]228。

来源：Blackpoint

“此活动突显了持续滥用SEO投毒和恶意广告以可信软件为幌子提供后门的情况。与今年早些时候观察到的假冒PuTTY活动类似，威胁行为者利用用户对搜索结果和知名品牌的信任来获得初始访问权限。”

确实，此活动提醒我们，SEO投毒和恶意广告策略在今天仍然有效，并且它们在搜索引擎中构成威胁。在当前情况下，选择Microsoft Teams并非偶然：它是最受欢迎的应用程序之一。此外，用户可以在没有管理员权限的情况下在自己的计算机上安装它，因此他们可能会自行安装。

主要建议是仅从官方和经过验证的网站下载软件，避免点击搜索引擎广告，即使它们看起来很合法。

来源