Απειλές ηθοποιοί που δηλητηριάζουν τα αποτελέσματα SEO για να επιτεθούν σε οργανισμούς με το Fake Microsoft Teams Installer

Μια εξελιγμένη καμπάνια στον κυβερνοχώρο εκμεταλλεύεται τη βελτιστοποίηση μηχανών αναζήτησης (SEO) για να διανείμει ένα κακόβουλο πρόγραμμα εγκατάστασης μεταμφιεσμένο ως Microsoft Teams, στοχεύοντας ανυποψίαστους οργανισμούς.

Αυτή η καμπάνια, που είναι ενεργή από τον Νοέμβριο του 2025, χρησιμοποιεί έναν ψεύτικο ιστότοπο της Microsoft Teams για να παρασύρει τους χρήστες να κατεβάσουν μια trojanized εφαρμογή, η οποία στη συνέχεια αναπτύσσει το κακόβουλο λογισμικό “ValleyRAT”.

Αυτό το κακόβουλο λογισμικό παρέχει στους εισβολείς απομακρυσμένο έλεγχο των μολυσμένων συστημάτων, επιτρέποντάς τους να κλέβουν ευαίσθητα δεδομένα, να εκτελούν εντολές και να διατηρούν μια επίμονη παρουσία στο δίκτυο.

Η επίθεση ξεκινά όταν οι χρήστες, που αναζητούν Ομάδες της Microsoft, κατευθύνονται σε έναν κακόβουλο ιστότοπο μέσω δηλητηριασμένων αποτελεσμάτων αναζήτησης.

Η ιστοσελίδα, teamscn[.]comείναι ένας τομέας με τυπογραφικό έλεγχο που έχει σχεδιαστεί για να στοχεύει χρήστες που μιλούν κινεζικά.

Reliaquest αναλυτές/ερευνητές ασφαλείας διάσημος ότι οι παράγοντες της απειλής, που προσδιορίζονται ως η κινεζική ομάδα APT «Silver Fox», έχουν διπλό στόχο: τη διεξαγωγή κρατικής χορηγίας κατασκοπείας και την εμπλοκή σε έγκλημα στον κυβερνοχώρο για οικονομικό όφελος.

Η χρήση μιας ψεύτικης εφαρμογής Microsoft Teams ως δέλεαρ είναι μια στρατηγική επιλογή, δεδομένης της ευρείας χρήσης της πλατφόρμας συνεργασίας σε εταιρικά περιβάλλοντα, γεγονός που αυξάνει την πιθανότητα επιτυχούς μόλυνσης.

Αυτό που κάνει αυτή την καμπάνια ιδιαίτερα παραπλανητική είναι η χρήση τεχνικών «ψευδής σημαίας» για την παραπλάνηση των ερευνητών ασφαλείας.

Ο φορτωτής κακόβουλου λογισμικού, για παράδειγμα, περιέχει κυριλλικούς χαρακτήρες και στοιχεία ρωσικής γλώσσας, μια σκόπιμη τακτική για να αποδοθεί η επίθεση σε Ρώσους παράγοντες απειλών.

Ωστόσο, οι ερευνητές ασφαλείας της Reliaquest έχουν συνδέσει την καμπάνια με το “Silver Fox” με υψηλή εμπιστοσύνη, επικαλούμενοι την αλληλοεπικάλυψη υποδομών με προηγούμενες επιθέσεις.

Αυτή η εσφαλμένη κατεύθυνση είναι μια υπολογισμένη κίνηση για να περιπλέξει την απόδοση και να επιβραδύνει τις προσπάθειες αντιμετώπισης περιστατικών, δίνοντας στους επιτιθέμενους περισσότερο χρόνο για να επιτύχουν τους στόχους τους.

Μόλυνση και Διαφυγή

Η διαδικασία μόλυνσης είναι μια λειτουργία πολλαπλών σταδίων που έχει σχεδιαστεί για να παρακάμπτει τα μέτρα ασφαλείας και να παραπλανά τους χρήστες.

Ξεκινά με τη λήψη ενός αρχείου ZIP με το όνομα MSTчamsSetup.zip. Αυτό το αρχείο περιέχει ένα εκτελέσιμο αρχείο με trojanized, Setup.exe.

Μόλις εκτελεστεί, Setup.exe εκτελεί διάφορες ενέργειες για να θέσει σε κίνδυνο το σύστημα. Αρχικά ελέγχει την παρουσία του «360 Total Security», μιας δημοφιλής λύσης προστασίας από ιούς στην Κίνα.

Στη συνέχεια, χρησιμοποιεί μια εντολή PowerShell για να προσθέσει εξαιρέσεις για τις μονάδες C:, D:, E: και F: στο Windows Defender, εμποδίζοντας το πρόγραμμα προστασίας από ιούς να σαρώσει αυτές τις θέσεις.

Η εντολή που χρησιμοποιείται είναι: –

powershellpowershell.exe -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath C:\, D:\,E:\,F:\

Μετά από αυτό, εκτελεί Verifier.exeένα πρόγραμμα εγκατάστασης της Microsoft με trojanized αλλά νόμιμη εμφάνιση που παρουσιάζεται στα Ρωσικά. Αυτή η εφαρμογή στη συνέχεια διαβάζει δυαδικά δεδομένα από α Profiler.json αρχείο.

Για να ολοκληρωθεί η εξαπάτηση, το κακόβουλο λογισμικό εγκαθιστά μια νόμιμη έκδοση του Microsoft Teams και δημιουργεί μια συντόμευση επιφάνειας εργασίας, κάνοντας τον χρήστη να πιστεύει ότι η εγκατάσταση ήταν επιτυχής ενώ το κακόβουλο λογισμικό λειτουργεί κρυφά στο παρασκήνιο.