Киберпреступники начали использовать поддельные объявления, имитирующие загрузку Microsoft Teams, чтобы навредить пользователям. Эти рекламные объявления появляются на вершине результатов поиска и направляют посетителей на поддельные веб-сайты, откуда загружают вредоносное ПО, в том числе Rhysida через OysterLoader. Кампания сочетает в себе вредоносную рекламу и SEO-поисковую отраву, чтобы представить вредоносные программы как официальную загрузку.
Методы взлома и средства защиты
Злоумышленники заманивают пользователей на фальшивые страницы загрузки, где происходит установка вредоносного ПО под прикрытием приложения Teams. Подписи поддельных сертификатов позволяют избегать первоначального обнаружения антивирусами. После установки ПО может шифровать файлы, красть учетные данные или давать доступ для дальнейшего распространения вымогателей.
Microsoft в октябре 2023 года отозвала более 200 поддельных сертификатов, которые использовались в таких кампаниях. Компания также предупредила о рисках загрузки ПО из непроверенных источников и подчеркнула важность мониторинга неправомерного использования сертификатов.
Фальшивые объявления и их влияние на безопасность пользователей
Риски и рекомендации
Эксперты предупреждают, что использование поисковых систем для загрузки ПО увеличивает риск попасть на вредоносные результаты. Эти атаки подчеркивают изменение направления атак в сторону использования инструментов для совместной работы на фоне увеличения удаленной работы. Программы защиты должны включать переход на официальные сайты поставщиков ПО, развертывание надежной защиты конечных точек, мониторинг выпусков и отзыва сертификатов, внедрение многослойной защиты и обучение пользователей противодействию подобным угрозам. Отчеты по безопасности и рекомендации от Microsoft помогают организациям укреплять защиту от атак, основанных на вредоносной рекламе.
