Hackers têm usado técnicas de SEO poisoning e anúncios em motores de busca para distribuir instaladores falsos do Microsoft Teams que infectam dispositivos Windows com a backdoor Oyster.
Essa ameaça oferece acesso inicial às redes corporativas, permitindo que os invasores avancem em seus ataques.
O malware Oyster, também identificado como Broomstick e CleanUpLoader, surgiu em meados de 2023 e está envolvido em diversas campanhas até hoje.
Trata-se de uma backdoor que concede controle remoto aos invasores, possibilitando execução de comandos, implantação de payloads adicionais e transferência de arquivos nos dispositivos comprometidos.
A propagação do Oyster ocorre frequentemente por meio de campanhas de malvertising, que se disfarçam como ferramentas populares de TI, como Putty e WinSCP.
Grupos de ransomware, como o Rhysida, também já utilizaram esse malware para invadir redes corporativas.
Em uma recente campanha de malvertising e SEO poisoning detectada pelo Blackpoint SOC, hackers promovem um site falso que aparece quando usuários pesquisam por “Teams download”.
Embora os anúncios e o domínio não imitem diretamente o site da Microsoft, eles direcionam para o endereço teams-install[.]top, que se passa pelo site oficial de download do Teams.
Ao clicar no link de download, o usuário recebe um arquivo chamado "MSTeamsSetup.exe", nome idêntico ao do instalador legítimo da Microsoft.
Esse arquivo malicioso foi assinado digitalmente com certificados emitidos para "4th State Oy" e "NRM NETWORK RISK MANAGEMENT INC", conferindo aparente legitimidade ao executável.
No entanto, ao ser executado, o instalador falso instala uma DLL maliciosa chamada CaptureService.dll dentro da pasta %APPDATA%\Roaming.
Para garantir persistência, o programa cria uma tarefa agendada chamada "CaptureService", que roda a DLL a cada 11 minutos, mantendo o backdoor ativo mesmo após reinicializações do sistema.
Esse comportamento lembra campanhas anteriores que utilizaram instaladores falsos do Google Chrome e do Microsoft Teams para distribuir o Oyster, evidenciando como SEO poisoning e malvertising continuam sendo métodos efetivos para comprometer redes corporativas.
Segundo o Blackpoint, "essa atividade destaca o uso contínuo de SEO poisoning e anúncios maliciosos para distribuir backdoors comuns sob o disfarce de softwares confiáveis”.
Além disso, “assim como nas campanhas falsas do PuTTY observadas no início deste ano, os cibercriminosos exploram a confiança dos usuários em resultados de busca e marcas conhecidas para obter acesso inicial".
Como administradores de TI são alvo frequente pela possibilidade de obtenção de credenciais com privilégios elevados, a recomendação é sempre baixar softwares exclusivamente de domínios oficiais e evitar clicar em anúncios suspeitos em motores de busca.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...