Uma recente campanha de malvertising está atraindo usuários a baixar instaladores falsos de softwares populares como Google Chrome e Microsoft Teams, resultando na instalação do backdoor identificado como Oyster. A Rapid7 descobriu essa campanha, observando atividades suspeitas e a implantação de cargas adicionais após a execução do malware. Usuários foram direcionados a sites falsos que imitavam páginas legítimas do Microsoft Teams por meio de mecanismos de busca como Google e Bing. Esses sites fraudulentos faziam com que os usuários acreditassem estar baixando software legítimo, quando na verdade estavam instalando software malicioso.

Em um dos casos, o arquivo malicioso MSTeamsSetup_c_l_.exe foi assinado com um certificado emitido para uma empresa chamada “Shanxi Yanghua HOME Furnishings Ltd”, aumentando a ilusão de autenticidade. O Oyster, detectado pela primeira vez em setembro de 2023, é um malware que coleta informações do sistema comprometido e se comunica com servidores de comando e controle (C2). Ele permite a execução remota de código, o que facilita o controle do sistema infectado pelos atacantes.

A análise técnica da Rapid7 revelou que o instalador malicioso armazena dois binários que são extraídos e executados na pasta Temp do sistema. Um dos binários, CleanUp30.dll, é executado através do comando rundll32.exe, enquanto o outro é um instalador legítimo do Microsoft Teams, usado para disfarçar a atividade maliciosa.

Usuários e administradores de sistemas devem ser cautelosos ao baixar softwares, verificando a autenticidade das fontes e implementando medidas de segurança para detectar e prevenir a instalação de malwares como o Oyster. A atenção a detalhes como certificados de autenticação e a origem dos downloads pode fazer a diferença na proteção contra essas ameaças.