لاحظت رابيد سفن Rapid7 حملة إعلانية ضارة مؤخرًا تغري المستخدمين بتنزيل مثبتات ضارة لبرامج شائعة مثل Google Chrome وMicrosoft Teams. تم استخدام أدوات التثبيت لإسقاط باب خلفي تم تحديده باسم Oyster Broomstick. بعد تنفيذ الباب الخلفي، لاحظت Rapid7 أوامر التعداد التي تشير إلى نشاط التدريب العملي على لوحة المفاتيح بالإضافة إلى نشر حمولات إضافية.

تقوم الجهات الفاعلة في مجال التهديد بإغراء المستخدمين المطمئنين إلى مواقع الويب المزيفة التي تزعم أنها تحتوي على برامج مشروعة. لكن محاولة تنزيل برنامج الإعداد الثنائي تؤدي إلى إطلاق سلسلة من الإصابة بالبرامج الضارة بدلاً من ذلك.

على وجه التحديد، يعمل الملف القابل للتنفيذ كمسار لباب خلفي يسمى Oyster، وهو قادر على جمع معلومات حول المضيف المخترق، والتواصل مع عنوان القيادة والتحكم (C2) المشفر، ودعم تنفيذ التعليمات البرمجية عن بعد.

بينما لوحظ في الماضي أن Oyster يتم تسليمه عن طريق مكون محمل مخصص يُعرف باسم Broomstick Loader (المعروف أيضًا باسم Oyster Installer)، فإن أحدث سلاسل الهجوم تستلزم النشر المباشر للباب الخلفي. يقال إن البرامج الضارة مرتبطة بـ ITG23 ، وهي مجموعة مرتبطة بروسيا تقف وراء البرنامج الضار TrickBot .

يتبع تنفيذ البرامج الضارة تثبيت برنامج Microsoft Teams الشرعي في محاولة لمواصلة الحيلة وتجنب رفع العلامات الحمراء. وقالت Rapid7 إنها لاحظت أيضًا استخدام البرامج الضارة لإنتاج برنامج PowerShell النصي المسؤول عن إعداد الثبات على النظام.

ويأتي هذا الكشف في الوقت الذي يُنسب فيه إلى مجموعة الجرائم الإلكترونية المعروفة باسم Rogue Raticate (المعروفة أيضًا باسم RATicate) أنها تقف وراء حملة التصيد الاحتيالي عبر البريد الإلكتروني التي تستخدم الأفخاخ بتنسيق PDF لإغراء المستخدمين بالنقر فوق عنوان URL ضار وتقديم NetSupport RAT.

المصدر، The Hacker News, Rapid7