Malafide Microsoft Teams-installers verspreiden malware

Hackers gebruiken steeds vaker SEO-poisoning en advertenties in zoekmachines om valse Microsoft Teams-installers te promoten. Deze infecteren Windows-apparaten met de Oyster backdoor, wat hackers aanvankelijke toegang tot bedrijfsnetwerken biedt.

Oyster-malware, ook bekend als Broomstick en CleanUpLoader, dook voor het eerst op in midden 2023 en wordt sindsdien in meerdere campagnes ingezet. Dit stukje software geeft aanvallers op afstand toegang tot geïnfecteerde apparaten, waardoor ze commando’s kunnen uitvoeren, extra malware kunnen plaatsen en bestanden kunnen overdragen.

Oyster verspreidt zich voornamelijk via schadelijke advertenties die zich voordoen als populaire IT-hulpmiddelen, zoals Putty en WinSCP. Ransomware-operators, zoals Rhysida, hebben de malware ook gebruikt om bedrijfsnetwerken binnen te dringen.

Valse Microsoft Teams-installers duwen malware

In een nieuwe campagne met malafide advertenties en SEO-poisoning, ontdekt door Blackpoint SOC, promoten bedreigingsactoren een nepwebsite die verschijnt wanneer je zoekt op "Teams download."

Hoewel de advertenties en domeinen niet beweren van Microsoft te zijn, linken ze naar een website (teams-install[.]top) die zich voordoet als de downloadpagina van Microsoft Teams. Klikken op de downloadlink zet een bestand genaamd "MSTeamsSetup.exe" binnen, dezelfde naam als het officiële downloadbestand van Microsoft.

Dit schadelijke MSTeamsSetup.exe-bestand was ondertekend met certificaten van "4th State Oy" en "NRM NETWORK RISK MANAGEMENT INC" om het bestand legitiem te laten lijken.

Bij uitvoering laat de valse installer een kwaadaardige DLL met de naam CaptureService.dll achter in de map %APPDATA%Roaming.

Voor blijvende aanwezigheid creëert de installer een geplande taak genaamd "CaptureService" die de DLL elke 11 minuten uitvoert, waardoor de backdoor actief blijft, zelfs na een herstart.

Deze activiteit lijkt op eerdere valse Google Chrome- en Microsoft Teams-installers die Oyster verspreiden, wat laat zien dat SEO-poisoning en malafide advertenties populaire methoden blijven om bedrijfsnetwerken binnen te dringen.

"Deze activiteiten tonen het voortdurende misbruik van SEO-poisoning en schadelijke advertenties om universele backdoors te verspreiden onder de dekmantel van vertrouwde software," concludeert Blackpoint.

"Net zoals bij de valse PuTTY-campagnes eerder dit jaar, maken bedreigingsactoren misbruik van het vertrouwen van gebruikers in zoekresultaten en bekende merken om aanvankelijk toegang te verkrijgen."

Omdat IT-beheerders vaak doelwit zijn voor het verkrijgen van toegang met hoge privileges, wordt hen geadviseerd alleen software van geverifieerde domeinen te downloaden en advertenties in zoekmachines te vermijden.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.