BlueVoyant описала кампанию Lorem Ipsum, в которой злоумышленники продвигают поддельные страницы загрузки Microsoft Teams через SEO-отравление в Bing и Google. По данным исследоватеелй, кампания затронула как минимум шесть стран в Северной Америке, Европе и Азии с марта по конец апреля 2026 года, пишет Securitylab. Один из случаев был связан с организацией из сферы здравоохранения в США. Вредоносные установщики подписаны действительными цифровыми сертификатами Microsoft ID Verified, которые регистрировались максимум на три дня. Такой подход помогает файлам выглядеть легитимно и одновременно сокращает окно, в котором сертификат могут отозвать. Домены для кампании регистрировались через NameCheap с приватностью Withheld-for-Privacy и начинали использоваться через несколько часов или дней после создания. BlueVoyant связывает развитие группы с ранним образцом, найденным в феврале 2026 года. Тогда вредоносный файл маскировался под утилиту PE Detective и был защищён слабо. Затем операторы быстро усложнили инструменты: добавили расшифровку через подстановочный шифр, XOR-зашифрованные фрагменты кода, DLL Sideloading и новую схему обмена с управляющими серверами. Бэкдор Lorem Ipsum собирает сведения о заражённом компьютере, кодирует часть данных через Base64, шифрует информацию случайным ключом и отправляет на жёстко заданный C2-сервер. Ответ приходит в виде файла, похожего на изображение JFIF. Такой цикл продолжается, пока сервер остаётся доступным. Дополнительные полезные нагрузки во время анализа не наблюдались, но код позволяет выполнять новые компоненты, если оператор сочтёт жертву ценной. Для скрытой координации группа использовала профили на letsdiskuss.com, включая joeblack1673, stevenblake8483, dhuahsd12d2752 и stevenseagal4596. По оценке BlueVoyant, разные профили могли разделять волны кампании или группы жертв, а каждый профиль указывал на собственный набор C2-доменов. В марте операторы ещё применяли plainraw.com для выдачи сжатых PowerShell-команд, но в середине апреля перешли к отдельным C2-доменам с адресами вида /api/init/{UUID}, что улучшило отслеживание заражённых систем. Компания считает группу не рядовыми операторами массового вредоносного ПО, но и не APT-группой. Скорость развития, расходы на домены, сертификаты и хостинг, а также способность соревноваться с обычными результатами поиска указывают на хорошо финансируемую криминальную команду. BlueVoyant допускает, что операторы могут работать как брокеры первичного доступа, хотя конечные цели пока не подтверждены.
Фальшивые установщики Microsoft Teams распространяются через поисковую выдачу
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования