Experții în securitate cibernetică avertizează asupra unei noi campanii de atac ce vizează utilizatorii Windows care caută să descarce aplicația Microsoft Teams. Hackerii folosesc reclame plasate în motoarele de căutare și tehnici de optimizare frauduloasă (SEO poisoning) pentru a promova un site fals de instalare, care livrează de fapt malware-ul Oyster – un backdoor periculos ce oferă acces complet la rețeaua unei companii.
Această metodă, deja întâlnită în campanii anterioare cu aplicații populare, demonstrează încă o dată cât de ușor pot fi exploatate încrederea utilizatorilor și rezultatele sponsorizate ale motoarelor de căutare.
Raportul firmei Blackpoint SOC arată că atacatorii afișează reclame malițioase pentru expresii căutate frecvent, precum „Teams download”. Linkurile nu imită direct domeniul Microsoft, dar conduc către un site cu aspect oficial – teams-install[.]top – ce copiază fidel pagina de descărcare a Microsoft Teams.
Odată accesat, site-ul permite descărcarea unui fișier numit „MSTeamsSetup.exe”, identic ca denumire cu installerul autentic. Pentru a părea legitim, fișierul este semnat digital cu certificate emise de „4th State Oy” și „NRM NETWORK RISK MANAGEMENT INC”. După executare, însă, installerul instalează un fișier DLL malițios, CaptureService.dll, în folderul %APPDATA%Roaming și creează o sarcină programată cu același nume, care rulează la fiecare 11 minute. Astfel, backdoor-ul rămâne activ chiar și după repornirea sistemului.
Oyster, cunoscut și ca Broomstick sau CleanUpLoader, a fost detectat pentru prima dată la mijlocul lui 2023 și este deja asociat cu mai multe campanii de atac. El permite infractorilor să execute comenzi de la distanță, să transfere fișiere, să instaleze alte programe malițioase și să obțină acces extins la infrastructura unei organizații. Grupări de ransomware precum Rhysida au folosit Oyster pentru a pătrunde în rețele corporative și a lansa atacuri de criptare a datelor.
Malvertising și SEO poisoning, tactici tot mai frecvente
Cazul actual reiterează o tendință îngrijorătoare: infractorii cibernetici exploatează reclamele plătite din motoarele de căutare și optimizarea SEO pentru a poziționa site-uri periculoase în primele rezultate. Utilizatorii obișnuiți, dar mai ales administratorii IT care caută rapid pachete de instalare, pot fi păcăliți cu ușurință, mai ales când domeniile par credibile și fișierele au semnături digitale valide.
Atacuri similare au vizat anterior programe precum PuTTY, WinSCP sau chiar Google Chrome, folosind aceeași strategie: un installer fals care ascunde un backdoor. Faptul că tehnica continuă să aibă succes arată că, în ciuda avertismentelor repetate, reclamele sponsorizate rămân un vector de risc major.
Specialiștii subliniază că încrederea utilizatorilor în rezultatele afișate de motoarele de căutare este exact punctul exploatat de hackeri. „Această activitate evidențiază abuzul constant al reclamelor și al SEO pentru a livra backdoor-uri sub masca unor aplicații de încredere”, a concluzionat echipa Blackpoint.
Măsuri de protecție pentru companii și utilizatori
Pentru a reduce riscul, administratorii IT și utilizatorii obișnuiți trebuie să adopte practici stricte de securitate:
- Descărcarea aplicațiilor numai de pe domenii oficiale (de exemplu microsoft.com) și evitarea accesării linkurilor din reclame plătite.
- Verificarea semnăturii digitale și a hash-ului fișierelor descărcate.
- Utilizarea soluțiilor de securitate actualizate, capabile să detecteze programe malițioase chiar și în fișiere aparent legitime.
- Monitorizarea atentă a rețelei pentru activități suspecte, cum ar fi crearea de sarcini programate neașteptate.
Atacurile care exploatează notorietatea unor aplicații populare, precum Microsoft Teams, sunt deosebit de periculoase pentru că pot compromite rapid rețele întregi. În mediul corporativ, un backdoor precum Oyster oferă atacatorilor acces la date sensibile și la infrastructuri critice, creând condiții pentru furt de informații, extorcări sau atacuri de tip ransomware.
Incidentul actual servește drept avertisment că, în era publicității online, chiar și un simplu clic pe o reclamă poate deschide ușa către breșe majore de securitate. Vigilenta permanentă, politici stricte de descărcare și educația utilizatorilor rămân cele mai eficiente arme împotriva acestor campanii tot mai sofisticate.