Malvertising reprezintă noul vector de atac care vizează utilizatorii Windows în căutarea conform raportului Blackpoint SOC. Hackerii plasează reclame false în motoarele de căutare și folosesc SEO poisoning pentru a promova un site fals de instalare.

Malvertising și SEO poisoning în campania contra Microsoft Teams
Reclamele malițioase apar la căutări precum „Teams download”, redirecționând spre domeniul teams‑install.top. Site‑ul imită perfect pagina oficială Microsoft, inducând în eroare utilizatorii.

Detalii tehnice ale malware‑ului Oyster
În momentul descărcării, fișierul MSTeamsSetup.exe pare semnat de 4th State Oy și NRM NETWORK RISK MANAGEMENT INC. După execuție, se instalează DLL‑ul CaptureService.dll în %APPDATA%\Roaming și se creează o sarcină programată la fiecare 11 minute.

Malvertising permite backdoor‑ul Oyster să rămână activ după repornirea sistemului. Acest malware, cunoscut și ca Broomstick sau CleanUpenzi la distanță, transfer de fișiere și instalare de alte programe malițioase.

Impactul asupra rețelelor corporative
Grupările ransomware, inclusiv Rhysida, au folosit Oyster pentru a pătrunde în infrastructuri și a lansa criptarea datelor. Accesul complet la rețea facilitează furtul de informații sensibile șiarea financiară.

Măsuri de protecție pentru companii și utilizatori
– Descărcați aplicațiile numai de pe domenii oficiale, evitând link‑urile din reclame malvertising.
– Verificați semnătura digitală și hash‑ul fișierelor înainte de instalare.
– Utilizați soluții de securitate actualizate, capabile să detecteze malware în fișiere aparent legitime.
– Monitorizați rețeaua pentru sarcini programate neautorizate și activități suspecte.

Continuați să informați personalul IT despre riscurile malvertising și să actualizați politicile de descărcare. Informarea permanentă și monitorizarea evoluțiilor rămân esențiale pentru reducerea expunerii la campanii de tip SEO poisoning.