За знакомой кнопкой скачивания прячется цепочка, рассчитанная на невнимательность и спешку.
Фальшивые установщики Microsoft Teams снова стали удобной приманкой для киберпреступников. Сценарий атаки следующий: пользователь ищет рабочую программу, открывает сайт из верхних строк поисковой выдачи и получает файл, который выглядит убедительно для Windows и защитных решений, но запускает многоступенчатое заражение.
BlueVoyant описала кампанию Lorem Ipsum, в которой злоумышленники продвигают поддельные страницы загрузки Microsoft Teams через SEO-отравление в Bing и Google. На таких сайтах работает главным образом заметная кнопка скачивания, ведущая к заражённому MSI-файлу. По данным компании, кампания затронула как минимум шесть стран в Северной Америке, Европе и Азии с марта по конец апреля 2026 года. Один из зафиксированных случаев был связан с организацией из сферы здравоохранения в США.
Вредоносные установщики подписаны действительными цифровыми сертификатами Microsoft ID Verified, которые регистрировались максимум на три дня. Такой подход помогает файлам выглядеть легитимно и одновременно сокращает окно, в котором сертификат могут отозвать. Домены для кампании регистрировались через NameCheap с приватностью Withheld-for-Privacy и начинали использоваться через несколько часов или дней после создания.
BlueVoyant связывает развитие группы с ранним образцом, найденным в феврале 2026 года. Тогда вредоносный файл маскировался под утилиту PE Detective и был защищён слабо. Затем операторы быстро усложнили инструменты: добавили расшифровку через подстановочный шифр, XOR-зашифрованные фрагменты кода, DLL Sideloading и новую схему обмена с управляющими серверами.
Мы в MAX. Простите.
Бэкдор Lorem Ipsum собирает сведения о заражённом компьютере, кодирует часть данных через Base64, шифрует информацию случайным ключом и отправляет на жёстко заданный C2-сервер. Ответ приходит в виде файла, похожего на изображение JFIF. Такой цикл продолжается, пока сервер остаётся доступным. Дополнительные полезные нагрузки во время анализа не наблюдались, но код позволяет выполнять новые компоненты, если оператор сочтёт жертву ценной.
Для скрытой координации группа использовала профили на letsdiskuss.com, включая joeblack1673, stevenblake8483, dhuahsd12d2752 и stevenseagal4596. По оценке BlueVoyant, разные профили могли разделять волны кампании или группы жертв, а каждый профиль указывал на собственный набор C2-доменов. В марте операторы ещё применяли plainraw.com для выдачи сжатых PowerShell-команд, но в середине апреля перешли к отдельным C2-доменам с адресами вида /api/init/{UUID}, что улучшило отслеживание заражённых систем.
Компания считает группу не рядовыми операторами массового вредоносного ПО, но и не актором уровня APT. Скорость развития, расходы на домены, сертификаты и хостинг, а также конкуренция с легитимными результатами поиска указывают на хорошо финансируемую криминальную команду. BlueVoyant допускает, что операторы могут работать как брокеры первичного доступа, хотя конечные цели пока не подтверждены.