Experții în securitate cibernetică avertizează asupra unei noi campanii de atac care vizează utilizatorii Windows în căutarea aplicației Microsoft Teams. Această campanie folosește reclame sponsorizate în motoarele de căutare și tehnici de SEO poisoning, promovând un site fals de descărcare, ce livrează malware-ul Oyster – un backdoor periculos ce poate compromite rețeaua unei organizații.

Atacurile se concentrează pe păcălirea utilizatorilor, folosind domenii care imită pagini oficiale și fișiere de instalare false. Un exemplu concret este site-ul teams-install.top, care oferă un installer denumit similar cu cel autentic, dar ce instalează ulterior un malware. Acesta descarcă și configurează un fișier DLL malițios, CaptureService.dll, pentru a menține backdoor-ul activ, chiar și după repornirea sistemului.

Oyster, cunoscut și sub denumiri precum Broomstick sau CleanUpLoader, a fost identificat pentru prima dată în 2023 și este folosit pentru extinderea controlului asupra rețelelor atacate. Grupări de ransomware, precum Rhysida, au exploatat această vulnerabilitate pentru a pătrunde și extinde atacurile asupra infrastructurilor organizate. Oyster permite executarea de comenzi la distanță, transferul de fișiere și instalarea altor programe malițioase.

Cazul actual evidențiază o tendință tot mai frecventă: atacatorii profită de reclamele plătite și de tehnicile de SEO pentru poziționarea site-urilor malițioase în topul rezultatelor. Utilizatorii, chiar și cei cu experiență, pot fi păcăliți dacă domeniile arată credibil și fișierele au semnături digitale valide. Multe atacuri anterioare au vizat programe precum Google Chrome, PuTTY sau WinSCP, cu strategii similare.

Specialiștii subliniază faptul că încrederea în rezultatele organice și sponsorizate ale motoarelor de căutare devine o vulnerabilitate exploatabilă. „Abuzul reclamelor și al tehnicilor de SEO pentru a livra backdoor-uri sub aparența unor aplicații de încredere” reprezintă o preocupare majoră în contextul actual.

Pentru a limita riscurile, administratorii IT și utilizatorii trebuie să aplice măsuri de protecție stricte. Printre acestea se numără:
– Descărcarea doar de pe site-uri oficiale, precum microsoft.com.
– Verificarea semnăturii digitale a fișierelor și a hash-ului.
– Utilizarea soluțiilor de securitate actualizate și capabile să detecteze programe malițioase.
– Monitorizarea atentă a activităților din rețea pentru identificarea unor comportamente suspecte.

Atacurile centrate pe aplicații populare, precum Microsoft Teams, pot cauza compromiterea rapidă a rețelelor corporative. Backdoor-ul Oyster asigură acces nedorit la date sensibile și infrastructuri critice, facilitând furtul de informații, extorcarea și atacurile de tip ransomware.

Este esențial ca utilizatorii și organizațiile să rămână informați despre aceste tactici de atac și să își adapteze politicile de securitate. Monitorizarea constantă și formarea continuă în domeniul cibersecurității sunt cele mai eficiente arme în fața acestor amenințări tot mai sofisticate.