Хакеры применяют Teams в атаках с поддельными установочными файлами с использованием четырёх активно эксплуатируемых уязвимостей

Компания Microsoft предупредила об активных атаках, в которых хакеры используют корпоративный мессенджер Teams в качестве инструмента социальной инженерии. На фоне этой угрозы Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) внесло четыре уязвимости Microsoft в официальный каталог эксплуатируемых CVE.

Злоумышленники распространяют поддельные установочные файлы Teams, замаскированные под «MSTeamsSetup.exe». Эти исполняемые файлы снабжены скомпрометированными сертификатами подписи и при запуске внедряют вредоносный бэкдор Oyster. Он в свою очередь используется для установки шифровальщика Rhysida — вируса-вымогателя, известного атаками на образовательные учреждения, госсектор и бизнес-структуры.

Microsoft отозвала свыше 200 поддельных сертификатов, подписанных через авторитетные центры SSL.com, DigiCert и GlobalSign. Обновлённые версии Microsoft Defender Antivirus и Defender for Endpoint способны обнаруживать все этапы атаки — от поддельного инсталлятора до активности шифровальщика.

Одновременно CISA пополнила свой каталог Known Exploited Vulnerabilities четырьмя уязвимостями в продуктах Microsoft, которые активно используются злоумышленниками. Хотя их идентификаторы не раскрываются в открытых источниках, эксперты подчёркивают, что речь идёт о давно известных, но до сих пор не закрытых дырах, через которые возможно выполнение кода, обход политик безопасности и удалённый доступ.