São Paulo — InkDesign News —

Um novo e significativo vetor de ataque está ameaçando usuários comuns de computadores ao esconder um programa perigoso dentro de um suposto instalador genuíno do Microsoft Teams. O malware, conhecido como Oyster (ou Broomstick), funciona como um backdoor, concedendo acesso secreto e de longo prazo aos cibercriminosos às máquinas das vítimas.

Incidente e vulnerabilidade

Os atacantes empregam uma tática de dois passos em mecanismos de busca para induzir os usuários a baixarem arquivos maliciosos. Primeiro, utilizam o SEO poisoning para fazer com que suas páginas falsas de download apareçam entre os primeiros resultados. Em segundo lugar, aplicam malvertising, realizando anúncios pagos que aparecem quando as pessoas buscam por “download do Teams”. Se um usuário clicar em um desses links fraudulentos, será direcionado a um site falsificado, como teams-install.top. Ao acessar, o usuário é induzido a baixar um arquivo denominado MSTeamsSetup.exe.

Impacto e resposta

Essa situação agravou-se pela descoberta de que os criminosos assinaram seus instaladores falsos com certificados não confiáveis, emitidos por empresas como a 4th State Oy. Isso permite que os arquivos maliciosos passem por verificações de segurança básicas. Uma vez executado, o backdoor Oyster se instala silenciosamente, enquanto o verdadeiro Microsoft Teams pode ser iniciado para evitar suspeitas. O Oyster cria uma comunicação de Command and Control (C2), estabelecendo uma linha secreta de contato com os servidores dos atacantes, permitindo-lhes enviar instruções e coletar informações do sistema comprometido.

“Essa atividade reflete campanhas anteriores com software falso, evidenciando a tendência de adversários que exploram marcas confiáveis para obter acesso inicial.”
(“this activity mirrors earlier fake campaigns, underscoring an ongoing trend of adversaries weaponising trusted software brands to gain initial access.”)

— Jason Barnhizer, Diretor de Operações de Ameaça, Blackpoint Cyber

Mitigações recomendadas

A equipe de pesquisa da Blackpoint Cyber recomenda um cuidado extremo ao baixar softwares. É crucial que os usuários acessem apenas os sites oficiais dos fornecedores, como o domínio oficial da Microsoft, ou utilizem marcadores salvos, evitando clicar em links nos resultados de busca ou anúncios. Além disso, software antivírus deve ser mantido atualizado para detectar tentativas de instalação de malware e alertar os usuários sobre processos incomuns.

“É vital que todos sigam práticas de segurança cibernética rigorosas para minimizar o risco de infecções.”
(“It is vital that everyone follows rigorous cybersecurity practices to minimize the risk of infections.”)

— Especialista em Segurança Cibernética, Blackpoint Cyber

Os riscos residuais desse ataque, que se disfarça como atividade normal do computador, representam uma preocupação contínua. Os usuários devem permanecer vigilantes e adotar medidas proativas para proteger suas informações e equipamentos contra softwares maliciosos.

Fonte: (Hack Read – Segurança Cibernética)