Кампания по малвертайзингу ("malvertising", рекламное распространение вредоносного ПО) использует поддельные установщики Microsoft Teams для компрометации корпоративных систем, задействуя отравленные результаты поисковых систем и поддельные сертификаты цифровой подписи для доставки бэкдора Oyster.
Атака была нейтрализована с помощью правил Attack Surface Reduction (ASR) в Microsoft Defender, которые заблокировали попытки вредоносного ПО установить связь с командно-контрольным (C2) сервером.
Эта атака подчеркивает растущую тенденцию использования злоумышленниками легитимных сервисов, чтобы казаться надежными и обходить традиционные меры безопасности. Используя краткосрочные, но действительные сертификаты цифровой подписи, атакующие смогли обойти первичное обнаружение по сигнатурам и заставить системы доверять вредоносному ПО.
Как Oyster попадает в систему через установщик Teams
Расследование компании Conscia выявило стремительную и автоматизированную цепочку атаки, которая началась с обычного веб-поиска.
25 сентября 2025 года их сотрудник выполнил поиск Microsoft Teams в Bing, после чего произошел редирект на вредоносный сайт. Всего за 11 секунд пользователь был перенаправлен с bing.com через домен-перенаправитель team[.]frywow[.]com на вредоносный сайт teams-install[.]icu.
Такое быстрое перенаправление указывает на автоматизированный процесс, вероятно, обусловленный кампанией по малвертайзингу или SEO-poisoning, в результате чего вредоносная ссылка оказалась на высоких позициях в поисковой выдаче.
Домен teams-install[.]icu был оформлен как поддельная страница загрузки Microsoft и размещён через Cloudflare. После перехода на сайт был загружен файл под названием MSTeamsSetup.exe.
Примерно через час файл был запущен. Несмотря на то, что он выглядел как легитимный установщик, на деле это было вредоносное ПО Oyster. Атака была остановлена только благодаря срабатыванию правил ASR в Microsoft Defender, которые заблокировали попытку вредоносной программы подключиться к серверу C2 по адресу nickbush24[.]com.
Ключевая особенность этой кампании — злоупотребление сертификатами цифровой подписи. Вредоносный исполняемый файл был подписан якобы легитимной организацией под названием “KUTTANADAN CREATIONS INC.”, использовавшей сертификат, действительный лишь два дня — с 24 по 26 сентября 2025 года.
Эта новая тактика позволяет злоумышленникам:
Инцидент был нейтрализован до того, как данные могли быть похищены или развернута дополнительная нагрузка, например, вымогательское ПО. Но защита показала, что традиционных мер безопасности больше недостаточно. Доверие к цифровым сертификатам не может быть абсолютным, и организациям необходимо использовать продвинутую защиту конечных точек.
Если бы правила ASR не были активированы, то бэкдор Oyster (также известнен как Broomstick или CleanUpLoader) получил бы постоянный доступ к скомпрометированной системе. Это дало бы злоумышленникам возможность похищать данные, устанавливать дополнительное вредоносное ПО и перемещаться по сети.
- Источник: https://cybersecuritynews.com/weaponized-microsoft-teams-installer/
Атака была нейтрализована с помощью правил Attack Surface Reduction (ASR) в Microsoft Defender, которые заблокировали попытки вредоносного ПО установить связь с командно-контрольным (C2) сервером.
Эта атака подчеркивает растущую тенденцию использования злоумышленниками легитимных сервисов, чтобы казаться надежными и обходить традиционные меры безопасности. Используя краткосрочные, но действительные сертификаты цифровой подписи, атакующие смогли обойти первичное обнаружение по сигнатурам и заставить системы доверять вредоносному ПО.
Как Oyster попадает в систему через установщик Teams
Расследование компании Conscia выявило стремительную и автоматизированную цепочку атаки, которая началась с обычного веб-поиска.
25 сентября 2025 года их сотрудник выполнил поиск Microsoft Teams в Bing, после чего произошел редирект на вредоносный сайт. Всего за 11 секунд пользователь был перенаправлен с bing.com через домен-перенаправитель team[.]frywow[.]com на вредоносный сайт teams-install[.]icu.
Такое быстрое перенаправление указывает на автоматизированный процесс, вероятно, обусловленный кампанией по малвертайзингу или SEO-poisoning, в результате чего вредоносная ссылка оказалась на высоких позициях в поисковой выдаче.
Домен teams-install[.]icu был оформлен как поддельная страница загрузки Microsoft и размещён через Cloudflare. После перехода на сайт был загружен файл под названием MSTeamsSetup.exe.
Примерно через час файл был запущен. Несмотря на то, что он выглядел как легитимный установщик, на деле это было вредоносное ПО Oyster. Атака была остановлена только благодаря срабатыванию правил ASR в Microsoft Defender, которые заблокировали попытку вредоносной программы подключиться к серверу C2 по адресу nickbush24[.]com.
Ключевая особенность этой кампании — злоупотребление сертификатами цифровой подписи. Вредоносный исполняемый файл был подписан якобы легитимной организацией под названием “KUTTANADAN CREATIONS INC.”, использовавшей сертификат, действительный лишь два дня — с 24 по 26 сентября 2025 года.
Эта новая тактика позволяет злоумышленникам:
- Обходить защиту: Подписанные файлы часто считаются надежными по умолчанию, что помогает обойти антивирусы и сигнатурные проверки.
- Минимизировать вероятность обнаружения: Короткий срок действия сертификатов уменьшает окно для их выявления и отзыва со стороны поставщиков безопасности.
- Автоматизировать атаки: Атакующие могут автоматизировать получение и использование новых сертификатов для разных кампаний.
Инцидент был нейтрализован до того, как данные могли быть похищены или развернута дополнительная нагрузка, например, вымогательское ПО. Но защита показала, что традиционных мер безопасности больше недостаточно. Доверие к цифровым сертификатам не может быть абсолютным, и организациям необходимо использовать продвинутую защиту конечных точек.
Если бы правила ASR не были активированы, то бэкдор Oyster (также известнен как Broomstick или CleanUpLoader) получил бы постоянный доступ к скомпрометированной системе. Это дало бы злоумышленникам возможность похищать данные, устанавливать дополнительное вредоносное ПО и перемещаться по сети.
- Источник: https://cybersecuritynews.com/weaponized-microsoft-teams-installer/