详细内容或原文请订阅后点击阅览
Warlike oyster:更新了隐藏在合法软件中的 Oyster 后门
即使 Microsoft Teams 的正常安装也可能导致完全泄露。
来源:安全实验室新闻频道即使是正常安装的 Microsoft Teams 也可能最终遭到完全破坏。
攻击者使用 Google Chrome 和 Microsoft Teams 等流行程序的虚假安装文件发起了恶意软件分发活动。这些假文件包含一个名为 Oyster 的后门。
后门根据 Rapid7 的说法,攻击者会创建托管恶意软件的虚假网站。用户在 Google 和 Bing 等搜索引擎上搜索软件后会被重定向到这些网站。
基于数据 Rapid7Oyster,也称为 CleanUpLoader,首次发现于 2023 年 9 月。该恶意软件包含用于收集有关受感染主机的信息并执行远程代码的组件。此前,Oyster 是通过名为 Broomstick Loader 的特殊下载器进行分发的,但在最近的攻击中,后门是直接安装的。
欺诈者诱骗用户从上述虚假网站下载安装文件。但攻击的受害者并没有安装预期的合法程序,而是发起了一系列恶意软件感染。
值得注意的是,该恶意软件还安装了所需程序的合法版本,以免引起怀疑。此外,Rapid7 发现该恶意软件运行 PowerShell 脚本来维持在系统上的持久存在。
PowerShell活动中使用的可执行文件用于安装后门,该后门收集有关受感染计算机的信息,与命令和控制服务器交互并支持远程命令执行。
对黑客使用的恶意文件“MSTeamsSetup_c_l_.exe”的技术分析显示,存在两个在系统Temp文件夹中提取并执行的二进制文件。其中一个文件 CleanUp30.dll 创建了一个任务,每三个小时运行一次该文件,以保持对受感染系统的持续控制。
Python 脚本,