Поддельные обновления Microsoft Teams приводят к установке Cobalt Strike

Операторы программ-вымогателей используют вредоносную рекламу для распространения поддельных обновлений Microsoft Teams, заражения систем бэкдорами и дальнейшей установки маяков Cobalt Strike для компрометации сети.

В распоряжение издания Bleeping Computer попало предупреждение Microsoft, согласно которому преступники использовали подписанные двоичные файлы и эксплуатировали критическую уязвимость ZeroLogon ( CVE-2020-1472 ), чтобы с помощью JavaScript-фреймворка SocGholish получить доступ администратора к сети.

В рамках одной из атак хакеры приобрели рекламу в поисковой системе, из-за чего первые результаты поиска для программного обеспечения Microsoft Teams указывали на домен, находящийся под контролем преступников. После нажатия на ссылку загружалась полезная нагрузка, которая запускала PowerShell-скрипт для скачивания большего количества вредоносного содержимого. Вредонос также устанавливал на системе легитимную копию Microsoft Teams, чтобы жертвы ничего не заподозрили.

Как сообщили специалисты из Microsoft, в большинстве случаев исходной полезной нагрузкой был инфостиллер Predator the Thief, который отправляет злоумышленнику конфиденциальную информацию, такую ​​как учетные данные, данные браузера и финансовую информацию. К другим распространяемым таким образом программам относятся бэкдор Bladabindi (NJRat) и инфостилер ZLoader.

Вредоносная программа также загружала маяки Cobalt Strike, что позволяло злоумышленнику перемещаться по сети. В некоторых атаках последним этапом был запуск вредоносного ПО для шифрования файлов на компьютерах сети.

Напомним, для развертывания маяков Cobalt Strike злоумышленники также начали активно использовать критическую уязвимость ( CVE-2020-14882 ) в платформах Oracle WebLogic. Таким образом хакеры обеспечивают себе постоянный удаленный доступ к скомпрометированным устройствам.