Instalador falso do Microsoft Teams leva malware a PCs através de malvertising
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
A empresa de cibersegurança Blackpoint SOC descobriu uma nova campanha explorando o Microsoft Teams: hackers, através de envenenamento de SEO e pesquisas patrocinadas em buscadores, fazem usuários baixarem instaladores falsos do aplicativo de comunicação, trazendo a backdoor Oyster a computadores Windows.
- Microsoft Teams começa a checar se links enviados são maliciosos
- Novo malware BackConnect usa Microsoft Teams para roubar dados sigilosos
O malware Oyster, também conhecido como Broomstick e CleanUpLoader, é uma backdoor identificada pela primeira vez em 2023, aparecendo em diversas campanhas de ataque desde então. Ele concede acesso remoto a cibercriminosos, permitindo execução de comandos, transferência de arquivos e capacidade de baixar mais vírus no PC.
Imitando o Teams
A campanha mira, especificamente, nos usuários que pesquisam na hora de instalar o Microsoft Teams. Ao buscar na internet por “Teams download”, um dos anúncios patrocinados — que nem tenta imitar o domínio da Microsoft, vale dizer — leva o indivíduo ao site teams-install[.]top, imitando a página de download do aplicativo de comunicação corporativa.
Ao clicar no botão de download, é recebido um arquivo com o nome MSTeamsSetup.exe, imitando o mesmo nome do download oficial. A assinatura do executável ainda traz certificados de 4th State Oy e NRM NETWORK RISK MANAGEMENT INC, para dar mais credibilidade ao arquivo.
Quando executado, no entanto, é lançada uma DLL maliciosa no computador, CaptureService.dll, na pasta %APPDATA%/Roaming. A tarefa CaptureService é criada pelo instalador, executando a DLL a cada 11 minutos, o que garante que o vírus siga funcionando mesmo após reiniciar o PC.
Outras campanhas usando instaladores do Google Chrome e do próprio Teams já usaram táticas semelhantes no passado, mostrando que o envenenamento de SEO e malvertising continuam sendo táticas populares para infiltração em redes corporativas. Administradores de TI costumam ser bastante visados em ataques do tipo, já que possuem credenciais privilegiadas. Vale prestar atenção e só baixar softwares de domínios verificados, evitando sempre clicar em anúncios nos buscadores virtuais.
Veja mais:
- Empresas usam IA para monitorar funcionários no Slack e Teams
- Novo ransomware usa BitLocker para criptografar e bloquear dados de empresas
- Site falso do CapCut é usado para espalhar malware; veja como se proteger
VÍDEO | COMO SABER SE SEU CELULAR ESTÁ COM VÍRUS #Shorts
Fonte: Blackpoint