Операторы программ-вымогателей используют вредоносную рекламу для распространения поддельных обновлений Microsoft Teams, заражения систем бэкдорами и дальнейшей установки маяков Cobalt Strike для компрометации сети.
В распоряжение издания Bleeping Computer попало предупреждение Microsoft, согласно которому преступники использовали подписанные двоичные файлы и эксплуатировали критическую уязвимость ZeroLogon ( CVE-2020-1472 ), чтобы с помощью JavaScript-фреймворка SocGholish получить доступ администратора к сети.
В рамках одной из атак хакеры приобрели рекламу в поисковой системе, из-за чего первые результаты поиска для программного обеспечения Microsoft Teams указывали на домен, находящийся под контролем преступников. После нажатия на ссылку загружалась полезная нагрузка, которая запускала PowerShell-скрипт для скачивания большего количества вредоносного содержимого. Вредонос также устанавливал на системе легитимную копию Microsoft Teams, чтобы жертвы ничего не заподозрили.
Как сообщили специалисты из Microsoft, в большинстве случаев исходной полезной нагрузкой был инфостиллер Predator the Thief, который отправляет злоумышленнику конфиденциальную информацию, такую как учетные данные, данные браузера и финансовую информацию. К другим распространяемым таким образом программам относятся бэкдор Bladabindi (NJRat) и инфостилер ZLoader.
Вредоносная программа также загружала маяки Cobalt Strike, что позволяло злоумышленнику перемещаться по сети. В некоторых атаках последним этапом был запуск вредоносного ПО для шифрования файлов на компьютерах сети.
Напомним, для развертывания маяков Cobalt Strike злоумышленники также начали активно использовать критическую уязвимость ( CVE-2020-14882 ) в платформах Oracle WebLogic. Таким образом хакеры обеспечивают себе постоянный удаленный доступ к скомпрометированным устройствам.