Méfiez-vous des faux sites Web Microsoft Teams qui installent le logiciel malveillant Oyster
Les faux sites Web d’entreprises faisant autorité et populaires prétendant être de véritables sites font croire aux utilisateurs que le site appartient à cette entreprise spécifique et qu’il peut être utilisé en toute sécurité.
En outre, les pirates peuvent plus facilement inciter leurs victimes à saisir des informations sensibles ou à télécharger des logiciels malveillants en imitant des marques populaires et réputées.
Les chercheurs en cybersécurité de Rapid 7 ont identifié une nouvelle campagne de publicité malveillante qui incite les utilisateurs à télécharger des installateurs malveillants se faisant passer pour des utilitaires bien connus, tels que Google Chrome et Microsoft Teams.
Ces installateurs livrent une porte dérobée nommée Oyster ou Broomstick. Après sa création, l’activité pratique sur le clavier implique l’énumération du système et le déploiement d’autres charges utiles malveillantes.
Scan Your Business Email Inbox to FindAdvanced Email Threats -Try AI-Powered Free Threat Scan
Méfiez-vous des faux sites Web Microsoft Teams
Lorsqu’ils recherchaient le logiciel sur le Web, les utilisateurs ont téléchargé les programmes d’installation de Microsoft Teams à partir de sites Web typosquattés dans trois cas.
Il s’agissait de sites malveillants se faisant passer pour des sites Microsoft authentiques et incitant les utilisateurs de confiance à télécharger des logiciels malveillants au lieu de véritables applications logicielles.
D’une part, Microsoft-Teams-Télécharger[.]com a envoyé le binaire MSTeamsSetup_c_l_.exe signé avec un certificat délivré pour Shanxi Yanghua HOME Furnishings Ltd, probablement utilisé de manière malveillante pour ressembler à une entité légitime sur VirusTotal.
En mai 2024, plusieurs installateurs ont usurpé l’identité d’un logiciel légitime, dont l’un utilisait un fichier d’installation Microsoft Teams avec un certificat révoqué.
Le rapport Rapid 7 indique que la famille de logiciels malveillants Oyster (alias Broomstick, CleanUpLoader) a été distribuée pour la première fois via ce programme d’installation en septembre 2023.
Les données du système sont collectées lorsque les C2 codés en dur sont contactés, permettant ainsi d’exécuter du code à distance. L’exemple récent supprime CleanUp30.dll, qui crée une tâche planifiée qui permet au virus d’être lancé toutes les 3 heures lorsqu’il s’exécute à nouveau.
Les domaines C2 sont décodés à l’aide d’un algorithme de mappage d’octets et les machines à empreintes digitales sont infectées, ce qui permet de renvoyer ces informations à l’infrastructure C2.
Ci-dessous, nous avons mentionné toutes les fonctions utilisées pour prendre les empreintes digitales de la machine infectée : –
- DsRoleGetPrimaryDomainInformation
- ObtenirNomUtilisateurW
- NetUserGetInfo
- ObtenirNomOrdinateurW
- RtlGetVersion
Lors de l’énumération des informations sur l’hôte, les données sont stockées dans des champs JSON à partir de chaînes décodées.
L’empreinte digitale est codée en inversant et en mappant les octets de la chaîne avant de l’envoyer via HTTP POST partout où vous êtes.[.]com/, supfoundrysettlers[.]nous/, et redirigez votre homme[.]UE/.
CleanUp30.dll utilise Boost.Beast pour la communication HTTP/WebSocket C2. Après avoir exécuté CleanUp30.dll, un script PowerShell est apparu, créant un raccourci de démarrage DiskCleanUp.lnk pour exécuter CleanUp.dll via rundll32.exe.
Cela a exécuté les charges utiles k1.ps1, main.dll et getresult.exe.
FreeWebinar! 3 Security Trends to Maximize MSP Growth->Register For Free