Rapid7، تبلیغات مخربی را شناسایی کرده است که کاربران را به دانلود نرم افزارهای آلوده به بدافزار سوق میدهند. گروهی که در پشت این جریان قرار دارد، از نصب کنندههای تروجانیزه شده در نرم افزارهای محبوبی مانند Google Chrome و Microsoft Teams استفاده میکند تا بکدور Oyster (معروف به Broomstick و CleanUpLoader) را تحویل دهد.
Oyster یک خانواده بدافزار است که برای اولین بار در سپتامبر 2023 توسط محققان IBM مشاهده و کشف گردید.
Rapid7 در بررسیهای خود، وب سایتهای مشابهی را که میزبان پیلودهای مخرب این بدافزار هستند، شناسایی کرده است. کاربران ناآگاه پس از جستجوی نرم افزار در موتورهای جستجو همچون Google و Bing، به این وب سایتهای آلوده هدایت میشوند. این فریب منجر به ایجاد زنجیره نفوذ بکدور Oyster خواهد شد.
فایل اجرایی دانلود شده، وسیلهای برای تحویل و نصب بکدور Oyster میباشد. این بکدور قادر به جمعآوری اطلاعات میزبان آلوده، ارتباط با یک آدرس فرماندهی و کنترل ([1]C2) هارکد شده و پشتیبانی از اجرای کد از راه دور است.
بکدور Oyster قبلا با استفاده از یک کامپوننت لودر اختصاصی به نام Broomstick Loader (معروف به Oyster Installer) به دستگاه قربانی ارائه میگردید. جدیدترین زنجیره حمله مشاهده شده مستلزم استقرار مستقیم بکدور است. گفته میشود که این بدافزار با ITG23، یک گروه مرتبط با روسیه در پشت بدافزار TrickBot، همپوشانی دارد.
اجرای بدافزار همراه با نصب نرم افزار قانونی مایکروسافت تیمز (Microsoft Teams)، تلاشی به منظور جلوگیری از شناسایی شدن آن است. این بکدور برای ایجاد تداوم دسترسی در سیستم قربانی از یک اسکریپت PowerShell استفاده میکند.
[1] command-and-control
