Grâce à des publicités sur les moteurs de recherche, des cybercriminels distribuent une version malveillante de l’installeur de Microsoft Teams. Le but ? Infecter les systèmes Windows avec le logiciel malveillant Oyster, une porte dérobée pouvant leur ouvrir les portes des réseaux d’entreprise. Faisons le point.

La distribution du faux installateur de Teams

Les chercheurs en sécurité de Blackpoint SOC ont repéré un nouveau site malveillant associé à cette campagne : teams-install[.]top. Même s’il n’usurpe pas l’identité de Microsoft dans les résultats de recherche, il imite à la perfection la page de téléchargement officielle de Microsoft Teams. Pour attirer des visiteurs vers leur site web, les pirates utilisent deux techniques : le SEO poisoning et l’achat de publicités sur les moteurs de recherche pour des requêtes comme “Teams download“. Ainsi, ils s’assurent que leur site malveillant apparaisse en tête des résultats…

Lorsque l’utilisateur clique sur le lien et télécharge le fichier, il obtient un exécutable nommé “MSTeamsSetup.exe”, soit le même nom que le fichier officiel. De plus, pour que l’exécutable semble encore plus légitime, il a été signé numériquement avec des certificats volés.

“Les échantillons de MSTeamsSetup.exe que nous avons examinés étaient signés par des émetteurs tels que 4th State Oy et NRM NETWORK RISK MANAGEMENT INC.”, précise le rapport.

Oyster : la porte dérobée

Sur la machine de la victime, le programme d’installation dépose un fichier DLL malveillant, , dans le dossier . Pour assurer la persistance sur la machine infectée, le malware crée une tâche planifiée nommée qui s’exécute toutes les 11 minutes. L’idée étant de maintenir la porte dérobée active même après le redémarrage de la machine.

Le malware en question, connu sous le nom d’Oyster (ou également Broomstick et CleanUpLoader), est une backdoor identifiée pour la première fois mi-2023. Son objectif est simple : fournir aux attaquants un accès à distance au système compromis. Cet accès au réseau d’une entreprise leur permet d’exécuter des commandes, de déployer d’autres charges utiles (comme des ransomwares) et d’exfiltrer des fichiers.

La communication avec le serveur C2 des attaquants s’effectue sur les adresses IP suivantes : 45.66.248[.]112, 54.39.83[.]187, 185.28.119[.]228.

“Cette activité met en évidence l’abus continu du SEO poisoning et des publicités malveillantes pour fournir des portes dérobées sous l’apparence de logiciels de confiance. À l’instar des fausses campagnes PuTTY observées plus tôt cette année, les acteurs de la menace exploitent la confiance des utilisateurs dans les résultats de recherche et les marques connues pour obtenir un accès initial.“, peut-on lire.

En effet, cette campagne rappelle que les tactiques de SEO poisoning et de malvertising restent efficaces aujourd’hui et qu’elles représentent une menace dans les moteurs de recherche. Dans le cas présent, Microsoft Teams est choisie et ce n’est pas un hasard : il s’agit de l’une des applications les plus populaires. De plus, un utilisateur peut l’installer sur son ordinateur sans les droits admin, il est donc susceptible de le faire de lui-même.

La principale recommandation est de télécharger les logiciels uniquement à partir des sites officiels et vérifiés, en évitant de cliquer sur les publicités des moteurs de recherche, même si elles semblent légitimes.

Source