Воинственная устрица: обновлённый бэкдор Oyster прячется в легитимном софте

Злоумышленники запустили кампанию по распространению вредоносного ПО, используя поддельные установочные файлы для популярных программ, таких как Google Chrome и Microsoft Teams. Эти поддельные файлы содержат бэкдор под названием Oyster (устрица).

По данным компании Rapid7, злоумышленники создают фальшивые сайты, на которых размещены вредоносные программы. Пользователи перенаправляются на эти сайты после поиска программного обеспечения в поисковых системах, таких как Google и Bing.

Oyster, также известный как CleanUpLoader, впервые был обнаружен в сентябре 2023 года. Этот вредонос включает в себя компоненты для сбора информации о заражённом хосте и выполнения удалённого кода. Ранее Oyster распространялся через специальный загрузчик Broomstick Loader, однако в последних атаках бэкдор устанавливается напрямую.

Мошенники обманывают пользователей, заставляя их скачивать установочные файлы с вышеописанных поддельных сайтов. Но вместо установки ожидаемой легитимной программы жертвы атаки инициируют цепочку заражения вредоносным ПО.

Примечательно, что вместе с вредоносом также устанавливается и легальная версия искомой программы, чтобы не вызвать подозрений. Кроме того, Rapid7 обнаружила, что вредоносное ПО запускает скрипт PowerShell для обеспечения постоянного присутствия на системе.

Исполняемый файл, используемый в кампании, служит для установки бэкдора, который собирает информацию о заражённом компьютере, взаимодействует с командно-контрольным сервером и поддерживает удалённое выполнение команд.

Технический анализ вредоносного файла «MSTeamsSetup_c_l_.exe», использованного хакерами, показал наличие двух бинарных файлов, которые извлекались и запускались в системной папке Temp. Один из файлов, CleanUp30.dll, создавал задачу, которая запускала этот файл каждые три часа для поддержания постоянного контроля над заражённой системой.

Кроме того, в одном из инцидентов был зафиксирован запуск PowerShell-скрипта, создающего ярлык для автоматического запуска CleanUp.dll при каждом входе пользователя в систему. Это обеспечивало постоянное присутствие вредоносного ПО на заражённой машине.

Во время своего выполнения CleanUp30.dll создаёт мьютекс для предотвращения запуска нескольких копий программы одновременно, а затем собирает информацию о системе, такую как имя пользователя, имя компьютера и версия операционной системы. Эта информация отправляется на командные серверы, используя обфусцированные строки и уникальные функции декодирования.

Для декодирования строк команда Rapid7 разработала Python-скрипт, доступный в их репозитории на GitHub, который помогает раскрыть конфигурацию вредоносного ПО. С помощью этого скрипта исследователям удалось определить несколько командных серверов, использующихся для связи с заражёнными машинами.

Чтобы защититься от подобных угроз пользователям рекомендуется быть осторожными при скачивании программного обеспечения, особенно с неофициальных сайтов. Важно проверять URL-адреса и сертификаты безопасности, чтобы убедиться в подлинности сайтов. Также следует регулярно обновлять операционные системы и антивирусные программы, а также избегать скачивания файлов из сомнительных источников.