Recent, experții în securitate cibernetică au identificat o nouă campanie de atac ce vizează utilizatorii Windows interesați de descărcarea aplicației Microsoft Teams. Această campanie utilizează reclame plătite în motoarele de căutare și tehnici de SEO poisoning pentru a promova site-uri false, care distribuie malware-ul Oyster, un backdoor extins și periculos.

Atacurile încearcă să păcălească utilizatorii care caută rapid pachetul de instalare pentru Teams, afișând reclame malițioase pentru expresii precum „Teams download”. Linkurile direcționează către site-uri aparent credibile, precum teams-install[.]top, care copiază fidel pagina oficială Microsoft. La accesarea site-ului, fișierul „MSTeamsSetup.exe” este descărcat, fiind semnat digital cu certificate emise de companii necunoscute, precum „4th State Oy” și „NRM NETWORK RISK MANAGEMENT INC”.

După instalarea aparent legitimă, fișierul malware stabilește un backdoor, numit Oyster, identificat și sub denumirile Broomstick sau CleanUpLoader. Acest backdoor permite hackerilor accesul la distanță în rețeaua infectată, transferul de fișiere și executarea de comenzi periculoase. Oyster a fost detectat pentru prima dată în 2023 și a fost implicat în mai multe atacuri, inclusiv cele ale grupărilor de ransomware precum Rhysida.

Tactici adaptate de infractori în campaniile de malware
Campaniile actuale utilizează mai frecvent metode de malvertising și SEO poisoning pentru a poziționa site-uri infectate în primele rezultate ale motoarelor. În cazul de față, reclamele sponsorizate exploatează încrederea utilizatorilor și poziția privilegiată a rezultatelor organice. Astfel, chiar și fișierele semnate digital aparent sigure pot ascunde amenințări.

Măsuri de prevenție și protecție pentru utilizatori și companii
Pentru reducerea riscului, se recomandă următoarele practici:

  • Descărcarea aplicațiilor numai din surse oficiale, precum microsoft.com.
  • Verificarea semnăturii digitale și a hash-ului fișierelor descărcate.
  • Utilizarea soluțiilor de securitate actualizate, capabile să detecteze fișiere malițioase.
  • Monitorizarea traficului pentru activități suspecte, precum crearea de sarcini programate neașteptate.

Atacurile exploatează notorietatea aplicațiilor populare, precum Microsoft Teams, și pot compromite rapid infrastructurile organizațiilor, facilitând furtul de date sau lansarea de atacuri ransomware.

Monitorizarea constantă a evoluției tehnicilor de atac rămâne esențială, iar utilizatorii trebuie să fie vigilenți în fața reclamelor sponsorizate și descărcărilor suspecte. A avea informațiile necesare pentru identificarea și evitarea acestor pericole reprezintă cea mai bună apărare în mediul digital actual.