Microsoft zaustavio talas ransomware napada: opozvano više od 200 sertifikata za lažne Teams instalere

Vesti, 17.10.2025, 10:00 AM

Početkom oktobra Microsoft je zaustavio talas napada Rhysida ransomware-a povlačenjem više od 200 sertifikata kojima su hakeri potpisali zlonamerne Teams instalere.

Iza napada stoji grupa Vanilla Tempest (poznata i kao Vice Society ili VICE SPIDER), koja je koristila lažne domene poput teams-install[.]top, teams-download[.]buzz, teams-download[.]top i teams-install[.]run, da bi distribuirala lažne MSTeamsSetup.exe fajlove. Ovi fajlovi su inficirali žrtve malverom Oyster, poznatim i kao Broomstick i CleanUpLoader. Ovaj malver napadačima omogućava daljinski pristup, krađu fajlova i izvršavanje zlonamernih komandi.

Kampanja je sprovođena kroz oglase i SEO poisoning, kojima su korisnici usmeravani na sajtove koji su se predstavljali kao zvanična stranica za preuzimanje Microsoft Teams-a.

Kada bi korisnik preuzeo i pokrenuo „instaler“, u pozadini bi se aktivirao loader koji instalira Oyster, potpisan sertifikatom poznatih izdavalaca poput DigiCert, SSL.com i GlobalSign, što mu je omogućavalo da prođe osnovne bezbednosne provere.

Microsoft je reagovao povlačenjem kompromitovanih sertifikata, čime su lažni fajlovi izgubili status „pouzdanih“.

Grupa Vanilla Tempest aktivna je od 2021. i poznata po finansijski motivisanim napadima koji kombinuju ransomware i eksfiltraciju podataka radi iznude.

Ranije su koristili različite ransomware-e - BlackCat, Quantum Locker, Zeppelin, a u poslednje vreme najviše ransomware Rhysida.

Njihove mete su najčešće organizacije iz sektora obrazovanja, zdravstva, IT-ja i proizvodnje.

Korisnicima se savetuje da aplikacije preuzimaju isključivo sa zvaničnih sajtova i izbegavaju linkove iz oglasa ili „sponzorisanih“ rezultata pretrage.