بدافزار Oyster از طریق لینک‌های تبلیغاتی جعلی Microsoft Teams پخش می‌شود

هکرها با استفاده از SEO poisoning و تبلیغات موتورهای جستجو اقدام به ترویج نصب‌کننده‌های جعلی Microsoft Teams می‌کنند که سیستم‌های Windows را به Oyster backdoor آلوده کرده و دسترسی اولیه به شبکه‌های سازمانی را برای مهاجمان فراهم می‌سازد.

بدافزار Oyster که با نام‌های دیگر Broomstick و CleanUpLoader نیز شناخته می‌شود، نخستین بار در میانهٔ سال ۲۰۲۳ مشاهده شد و تاکنون با چندین کمپین مخرب مرتبط بوده است. این بدافزار به مهاجمان امکان می‌دهد تا دسترسی از راه دور به دستگاه‌های آلوده داشته، فرمان‌های دلخواه اجرا کنند، payloadهای ثانویه مستقر کنند و انتقال فایل‌ها را انجام دهند.

به طور معمول، Oyster از طریق کمپین‌های Malvertising که خود را به‌عنوان ابزارهای محبوب فناوری اطلاعات مانند Putty و WinSCP معرفی می‌کنند، توزیع می‌شود. گروه‌های باج‌افزاری مانند Rhysida نیز از این بدافزار برای نفوذ به شبکه‌های سازمانی استفاده کرده‌اند.

نصب‌کننده جعلی Microsoft Teams

در یک کمپین جدید Malvertising و SEO poisoning که توسط تیم Blackpoint SOC شناسایی شده است، مهاجمان سایبری وب‌سایتی جعلی را تبلیغ می‌کنند که هنگام جستجوی عبارت “Teams download” در نتایج جستجو ظاهر می‌شود و کاربر را به دانلود نصب‌کننده تقلبی هدایت می‌کند.

اگرچه تبلیغات و دامنهٔ مورد استفاده به‌طور مستقیم دامنهٔ Microsoft را جعل نمی‌کنند، اما کاربران را به وب‌سایتی با آدرس teams-install[.]top هدایت می‌کنند که به‌طور کامل شبیه به صفحهٔ رسمی دانلود Microsoft Teams طراحی شده است.

کاربر با کلیک روی لینک دانلود در این وب‌سایت، فایلی با نام MSTeamsSetup.exe دریافت می‌کند؛ همان نام فایلی که در نسخهٔ رسمی مایکروسافت برای نصب Teams استفاده می‌شود، و همین امر تشخیص نسخهٔ جعلی را برای کاربران بسیار دشوار می‌سازد.

فایل مخرب MSTeamsSetup.exe ‏[VirusTotal] با استفاده از گواهی‌های کدساینینگ صادرشده از شرکت‌های ۴th State Oy و NRM NETWORK RISK MANAGEMENT INC امضا شده است تا ظاهری معتبر و قانونی داشته باشد.

با این حال، پس از اجرا، این نصب‌کنندهٔ جعلی یک DLL مخرب با نام CaptureService.dll ‏[VirusTotal] را در مسیر %APPDATA%\Roaming رها می‌کند.

برای ماندگاری (Persistence)، نصب‌کننده یک Scheduled Task با نام CaptureService ایجاد می‌کند که هر ۱۱ دقیقه این DLL را اجرا کرده و اطمینان می‌دهد که بک‌دور حتی پس از ریبوت سیستم فعال باقی بماند.

این الگو مشابه کمپین‌های قبلی نصب‌کننده‌های جعلی Google Chrome و Microsoft Teams است که Oyster را توزیع می‌کردند و نشان می‌دهد که SEO poisoning و malvertising همچنان از محبوب‌ترین روش‌ها برای نفوذ به شبکه‌های سازمانی هستند.

به گفتهٔ Blackpoint:

«این فعالیت، سوءاستفاده مداوم از SEO poisoning و تبلیغات مخرب برای توزیع بک‌دورهای رایج تحت پوشش نرم‌افزارهای معتبر را برجسته می‌کند. مشابه کمپین‌های جعلی PuTTY که اوایل امسال مشاهده شد، مهاجمان با سوءاستفاده از اعتماد کاربران به نتایج جستجو و برندهای شناخته‌شده، دسترسی اولیه به شبکه‌ها را به‌دست می‌آورند.»

از آنجا که مدیران IT هدف اصلی برای دستیابی به credentials با سطح دسترسی بالا هستند، توصیه می‌شود نرم‌افزارها تنها از دامنه‌های رسمی و تأییدشده دانلود شده و از کلیک روی تبلیغات موتورهای جستجو به‌شدت پرهیز شود.