يدفع مثبتات فرق Microsoft المزيفة البرامج الضارة للمحار عبر malvertising

تم رصد المتسللين باستخدام إعلانات تسمم محركات SEO ومحرك البحث للترويج للمثبتات المزيفة من فرق Microsoft التي تصيب أجهزة Windows مع Oyster Backdoor ، مما يوفر الوصول الأولي إلى شبكات الشركات.

البرامج الضارة للمحار ، المعروفة أيضًا باسم Broomstick و Cleanuploader ، هي الباب الخلفي ظهر لأول مرة في منتصف عام 2013 ومنذ ذلك الحين تم ربطها بحملات متعددة. يوفر البرامج الضارة للمهاجمين وصولًا عن بُعد إلى الأجهزة المصابة ، مما يسمح لهم بتنفيذ الأوامر ونشر حمولات إضافية وملفات نقل.

المحار عادة”https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/” الهدف=”_blank” rel=”nofollow noopener”> انتشر من خلال حملات malverting أن انتحال شخصية أدوات تكنولوجيا المعلومات الشعبية ، مثل المعجون و WINSCP. عمليات الفدية ،”http://go.recordedfuture.com/hubfs/reports/cta-2025-0130.pdf” الهدف=”_blank” rel=”nofollow noopener”> مثل رايسيدا، استخدمت أيضًا البرامج الضارة لخرق شبكات الشركات.

مثبتات فرق Microsoft المزيفة يدفع البرامج الضارة

في حملة جديدة من مراوغ”https://go.recordedfuture.com/hubfs/reports/cta-2025-0130.pdf” الهدف=”_blank” rel=”nofollow noopener”> Blackpoint Soc، يقوم ممثلو التهديد بالترويج لموقع مزيف يظهر عندما يبحث الزوار عن “Teams download.”

على الرغم من أن الإعلانات والمجال لا تحكم في مجال Microsoft ، إلا أنها تؤدي إلى موقع ويب في Teams-install[.]تتصدر موقع تنزيل فرق Microsoft لتنزيل فرق Microsoft. النقر على رابط التنزيل من شأنه تنزيل ملف يسمى “MSTeamsSetup.exe,” وهو نفس اسم الملف الذي يستخدمه تنزيل Microsoft الرسمي.

MSTeamsSetup.exe الضار [ virustotal]تم توقيع رمز مع شهادات من “4th State Oy” و “NRM NETWORK RISK MANAGEMENT INC” لإضافة شرعية إلى الملف.

ومع ذلك ، عند تنفيذها ، قام المثبت المزيف بإسقاط DLL ضار يدعى CaptureService.dll[[ virustotal]في المجلد ٪ appdata ٪ التجوال.

من أجل الثبات ، يقوم المثبت بإنشاء مهمة مجدولة تدعى”CaptureService” لتنفيذ DLL كل 11 دقيقة ، ضمان أن يظل الباب الخلفي نشطًا حتى على إعادة التشغيل.

هذا النشاط يشبه”https://www.rapid7.com/blog/post/2024/06/17/malvertising-campaign-leads-to-execution-of-oyster-backdoor/” الهدف=”_blank” rel=”nofollow noopener”> مثبتات فرق Google Chrome و Microsoft المزيفة السابقة دفع ذلك المحار ، مع تسليط الضوء على كيفية تسمم كبار المسئولين الاقتصاديين وتصوير ماليفيرات كبار المسئولين الاقتصاديين إلى تكتيك شعبي لخرق شبكات الشركات.

“This activity highlights the continued abuse of SEO poisoning and malicious advertisements to deliver commodity backdoors under the guise of trusted software,” يختتم Blackpoint.

“Much like the fake PuTTY campaigns observed earlier this year, threat actors are exploiting user trust in search results and well-known brands to gain initial access.”

نظرًا لأن المسؤولين هو هدف شائع للوصول إلى بيانات الاعتماد ذات الامتيازات العالية ، فإنهم ينصحون فقط بتنزيل البرامج من المجالات التي تم التحقق منها وتجنب النقر على إعلانات محرك البحث.