Бесплатно Экспресс-аудит сайта:

22.06.2024

Воинственная устрица: обновлённый бэкдор Oyster прячется в легитимном софте

Злоумышленники запустили кампанию по распространению вредоносного ПО, используя поддельные установочные файлы для популярных программ, таких как Google Chrome и Microsoft Teams. Эти поддельные файлы содержат бэкдор под названием Oyster (устрица).

По данным компании Rapid7 , злоумышленники создают фальшивые сайты, на которых размещены вредоносные программы. Пользователи перенаправляются на эти сайты после поиска программного обеспечения в поисковых системах, таких как Google и Bing.

Oyster, также известный как CleanUpLoader, впервые был обнаружен в сентябре 2023 года. Этот вредонос включает в себя компоненты для сбора информации о заражённом хосте и выполнения удалённого кода. Ранее Oyster распространялся через специальный загрузчик Broomstick Loader, однако в последних атаках бэкдор устанавливается напрямую.

Мошенники обманывают пользователей, заставляя их скачивать установочные файлы с вышеописанных поддельных сайтов. Но вместо установки ожидаемой легитимной программы жертвы атаки инициируют цепочку заражения вредоносным ПО.

Примечательно, что вместе с вредоносом также устанавливается и легальная версия искомой программы, чтобы не вызвать подозрений. Кроме того, Rapid7 обнаружила, что вредоносное ПО запускает скрипт PowerShell для обеспечения постоянного присутствия на системе.

Исполняемый файл, используемый в кампании, служит для установки бэкдора, который собирает информацию о заражённом компьютере, взаимодействует с командно-контрольным сервером и поддерживает удалённое выполнение команд.

Технический анализ вредоносного файла «MSTeamsSetup_c_l_.exe», использованного хакерами, показал наличие двух бинарных файлов, которые извлекались и запускались в системной папке Temp. Один из файлов, CleanUp30.dll, создавал задачу, которая запускала этот файл каждые три часа для поддержания постоянного контроля над заражённой системой.

Кроме того, в одном из инцидентов был зафиксирован запуск PowerShell-скрипта, создающего ярлык для автоматического запуска CleanUp.dll при каждом входе пользователя в систему. Это обеспечивало постоянное присутствие вредоносного ПО на заражённой машине.

Во время своего выполнения CleanUp30.dll создаёт мьютекс для предотвращения запуска нескольких копий программы одновременно, а затем собирает информацию о системе, такую как имя пользователя, имя компьютера и версия операционной системы. Эта информация отправляется на командные серверы, используя обфусцированные строки и уникальные функции декодирования.

Для декодирования строк команда Rapid7 разработала Python-скрипт, доступный в их репозитории на GitHub, который помогает раскрыть конфигурацию вредоносного ПО. С помощью этого скрипта исследователям удалось определить несколько командных серверов, использующихся для связи с заражёнными машинами.

Чтобы защититься от подобных угроз пользователям рекомендуется быть осторожными при скачивании программного обеспечения, особенно с неофициальных сайтов. Важно проверять URL-адреса и сертификаты безопасности, чтобы убедиться в подлинности сайтов. Также следует регулярно обновлять операционные системы и антивирусные программы, а также избегать скачивания файлов из сомнительных источников.