Lažni Microsoft Teams u rezultatima pretrage krije backdoor Oyster

Vesti, 29.09.2025, 09:00 AM

Istraživači iz Blackpoint SOC su otkrili novu kampanju u kojoj hakeri koriste SEO poisoning i oglase da bi promovisali lažne Microsoft Teams instalere koji inficiraju Windows uređaje Oyster backdoor malverom, koji im obezbeđuje inicijalni pristup korporativnim mrežama.

Oyster, poznat i kao Broomstick ili CleanUpLoader, pojavio se sredinom 2023. i od tada je korišćen u više kampanja. Malver omogućava napadačima daljinski pristup zaraženim uređajima, izvršavanje komandi, preuzimanje dodatnih malvera i transfer fajlova.

Ranije je distribuiran kroz lažne instalere alata poput Putty i WinSCP, a povezivan je i sa ransomware napadima, poput Rhysida ransomwarea.

U novoj kampanji, korisnici koji na Google-u ili Bingu traže „Teams download“ mogu da naiđu na oglas ili link ka sajtu teams-install[.]top, koji imitira Microsoftov zvanični sajt.

Sa tog sajta preuzima se fajl MSTeamsSetup.exe, identičnog naziva kao originalni fajl, potpisan sertifikatima „4th State Oy“ i „NRM NETWORK RISK MANAGEMENT INC“, kako bi izgledao legitimno.

Međutim, pokretanjem fajla dolazi do instalacije zlonamernog CaptureService.dll u folder %APPDATA%Roaming. Malver kreira task pod imenom CaptureService, koji se izvršava na svakih 11 minuta.

Ovaj scenario pokazuje da su SEO poisoning i malvertajzing i dalje popularne taktike za isporuku malvera, jer se oslanjaju na poverenje korisnika u poznate brendove i rezultate pretrage.