Selon GBHackers, des chercheurs en cybersécurité ont mis au jour une campagne où des acteurs malveillants utilisent des publicités frauduleuses et l’empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware backdoor Oyster.

  • Leurre : faux installateurs de Microsoft Teams destinés aux utilisateurs cherchant un téléchargement légitime via des moteurs de recherche.
  • Méthodes : publicités sponsorisées et SEO poisoning qui positionnent des liens frauduleux sur des requêtes comme « teams download ».
  • Charge utile : backdoor Oyster, permettant aux attaquants d’obtenir un accès à distance.

Des chercheurs en cybersécurité ont identifié une campagne sophistiquée exploitant des publicités malveillantes et un empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware de porte dérobée Oyster (alias Broomstick). Les utilisateurs cherchant à télécharger Teams via les moteurs de recherche tombent sur des annonces frauduleuses redirigeant vers des sites usurpant l’apparence des pages officielles, comme teams-install[.]top, qui délivrent un fichier MSTeamsSetup.exe infecté.

Ce faux installateur, signé numériquement par des entités telles que « 4th State Oy » ou « NRM NETWORK RISK MANAGEMENT INC », installe sur le système une DLL malveillante nommée CaptureService.dll dans un dossier aléatoire sous %APPDATA%\Roaming. Pour assurer la persistance, il crée une tâche planifiée nommée « CaptureService » qui exécute périodiquement la DLL via rundll32.exe, assurant un accès furtif et durable aux systèmes compromis.

La porte dérobée Oyster offre aux attaquants un contrôle complet du système, incluant collecte d’informations, communication avec des serveurs de commande et contrôle, exécution de commandes arbitraires et déploiement de charges additionnelles. Cette campagne rappelle d’anciennes opérations similaires avec des faux installeurs de Google Chrome ou Putty, témoignant d’une tendance durable à exploiter la confiance des utilisateurs envers des marques réputées via le malvertising.

Pour se protéger, il est fortement recommandé de télécharger uniquement les logiciels officiels depuis les sites éditeurs, d’éviter de cliquer sur les annonces sponsorisées dans les résultats de recherche, et de mettre en place des contrôles d’exécution limitant les programmes non signés ou non approuvés. La sensibilisation des utilisateurs sur les risques liés au malvertising et à l’empoisonnement SEO reste cruciale face à ces attaques de plus en plus

Il s’agit d’un article de presse spécialisé visant à signaler une campagne de distribution de malware exploitant les résultats de recherche et les annonces sponsorisées.

🔗 Source originale : https://gbhackers.com/hackers-distribute-malicious-microsoft-teams/